Php 8.4 · Php 8.4 · CVE-2025-14177
**Nome do Software Vulnerável e Versões Afetadas**
PHP versões anteriores a 8.1.34
PHP versões anteriores a 8.2.30
PHP versões anteriores a 8.3.29
PHP versões anteriores a 8.4.16
PHP versões anteriores a 8.5.1
**Description**
Um erro na função `php read stream all chunks()` permite a divulgação de memória heap sensível. Isso ocorre quando a função `getimagesize()` lê imagens em modo multi-chunk, como através de streams `php://filter`, porque o buffer é sobrescrito sem avançar o ponteiro, deixando os bytes finais não inicializados. Isso pode vazar memória heap não inicializada para segmentos APPn (ex: APP1). O problema é acionado quando um invasor controla o tamanho do chunk do stream e cria um JPEG com um segmento APP1 grande que abrange múltiplos chunks de leitura.
**Recommendations**
Atualizar para a versão 8.1.34 ou posterior.
Atualizar para a versão 8.2.30 ou posterior.
Atualizar para a versão 8.3.29 ou posterior.
Atualizar para a versão 8.4.16 ou posterior.
Atualizar para a versão 8.5.1 ou posterior.
Como medida paliativa temporária, restrinja o uso da função `getimagesize()` em arquivos JPEG não confiáveis, especialmente aqueles processados via streams `php://filter`.