PT-2025-11343 · Php+11 · Php+11
Tim Düsterhus
·
Publicado
2025-01-01
·
Atualizado
2026-02-10
·
CVE-2025-1217
CVSS v4.0
6.3
Média
| Vetor | AV:N/AC:H/AT:P/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N/AU:Y/R:A |
Nome do Software Vulnerável e Versões Afetadas
Versões do PHP 8.1.* até 8.1.31
Versões do PHP 8.2.* até 8.2.27
Versões do PHP 8.3.* até 8.3.18
Versões do PHP 8.4.* até 8.4.4
Descrição
O problema está relacionado à análise incorreta de cabeçalhos dobrados em respostas HTTP pelo módulo de requisição HTTP no PHP. Isso pode levar à interpretação incorreta da resposta e ao uso de cabeçalhos, tipos MIME, etc. incorretos. A vulnerabilidade pode ser explorada por um atacante remoto para enviar requisições HTTP ocultas.
Recomendações
Para as versões do PHP 8.1.* até 8.1.31, atualize para a versão 8.1.32 ou posterior.
Para as versões do PHP 8.2.* até 8.2.27, atualize para a versão 8.2.28 ou posterior.
Para as versões do PHP 8.3.* até 8.3.18, atualize para a versão 8.3.19 ou posterior.
Para as versões do PHP 8.4.* até 8.4.4, atualize para a versão 8.4.5 ou posterior.
Como solução temporária, considere restringir o acesso ao wrapper de stream HTTP até que um patch esteja disponível.
Exploit
Correção
HTTP Request/Response Smuggling
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Debian
Linuxmint
Php
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu