Er is een nieuw beveiligingsprobleem geïdentificeerd in PHP dat van invloed is op verschillende versies, waaronder 8.1.*, 8.2.*, 8.3.*, en 8.4.*. Bij gebruik van functies zoals fsockopen() ontbreekt de validatie van null-bytes in hostnamen, wat kan leiden tot beveiligingsproblemen zoals Server-Side Request Forgery (SSRF).
Overzicht
In PHP versies voor 8.1.33, 8.2.29, 8.3.23 en 8.4.10 leidt het ontbreken van validatie voor null-bytes in hostnamen binnen functies zoals fsockopen() tot afwijkend gedrag bij andere functies zoals parse_url(). Dit kan beveiligingsproblemen opleveren als er door gebruikerscode toegangscontroles worden uitgevoerd voordat toegang wordt verleend.
Aanbevelingen
- Werk PHP bij naar een versie boven 8.1.33, 8.2.29, 8.3.23 of 8.4.10 om dit probleem recht te zetten.
Bronnen
Voor meer details kunt u de officiële beveiligingsadvies van de PHP Group bekijken.
Vraag en Antwoord
Wat is CVE-2025-1220?
CVE-2025-1220 verwijst naar een beveiligingslek in PHP, waarbij functies zoals fsockopen() niet goed valideren op null-bytes in hostnamen, wat kan leiden tot Server-Side Request Forgery (SSRF).
Welke systemen zijn kwetsbaar voor CVE-2025-1220?
Systemen die versies van PHP gebruiken vóór 8.1.33, 8.2.29, 8.3.23 en 8.4.10.
Bestaat er al een patch of beveiligingsupdate?
Ja, het wordt aanbevolen om PHP bij te werken naar de nieuwste veilige versies.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan toegang krijgen tot interne systemen via SSRF-aanvallen als de gebruikerstoegang niet juist wordt gecontroleerd.
