CVE-2025-1220
NiskieStreszczenie
W wersjach PHP: 8.1.* przed 8.1.33, 8.2.* przed 8.2.29, 8.3.* przed 8.3.23, 8.4.* przed 8.4.10 niektóre funkcje, takie jak fsockopen(), nie weryfikują, czy dostarczona nazwa hosta nie zawiera znaków null. Może to prowadzić do nieprawidłowego traktowania nazwy hosta przez inne funkcje, takie jak parse_url().
Ocena ryzyka
Brak walidacji nazw hostów może prowadzić do nieprzewidzianych zachowań aplikacji, co stwarza ryzyko wykorzystania podatności przez atakujących. Może to skutkować nieautoryzowanym dostępem lub innymi problemami z bezpieczeństwem.
Rekomendacja
Zaleca się aktualizację PHP do najnowszej wersji, aby usunąć tę podatność. Dodatkowo warto wprowadzić walidację nazw hostów w aplikacjach korzystających z funkcji fsockopen().
Oryginalny opis (angielski, źródło NVD)
In PHP versions:8.1.* before 8.1.33, 8.2.* before 8.2.29, 8.3.* before 8.3.23, 8.4.* before 8.4.10 some functions like fsockopen() lack validation that the hostname supplied does not contain null characters. This may lead to other functions like parse_url() treat the hostname in different way, thus

