Een significante kwetsbaarheid, aangeduid als CVE-2025-1735, is ontdekt in specifieke versies van PHP. Deze betreft de pgsql en pdo_pgsql extensies, waarbij fouten bij het escapen van tekens mogelijk niet worden opgemerkt. Dit kan leiden tot crashes wanneer de PostgreSQL-server een ongeldige string afwijst.
Overzicht
Bij PHP-versies 8.1.* tot 8.4.* zonder de nieuwste updates, ontbreekt het aan een controlemechanisme op foutmeldingen tijdens het escapen van invoer in pgsql en pdo_pgsql. Hierdoor kunnen crashes optreden, wat de stabiliteit van het systeem bedreigt.
Impactanalyse
- Complexiteit van aanval: Hoog
- Aanvalsvector: Netwerk
- Impact op beschikbaarheid: Hoog
- Score: 5.9 (Medium)
Aanbevelingen
Het is sterk aangeraden de PHP-omgevingen te updaten naar ten minste versie 8.1.33, 8.2.29, 8.3.23 of 8.4.10 om deze kwetsbaarheid te verhelpen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-1735?
Dit is een kwetsbaarheid die bepaalde PHP-versies beïnvloedt, specifiek gerelateerd aan de pgsql en pdo_pgsql extensies voor database-interactie.
Welke systemen zijn kwetsbaar voor CVE-2025-1735?
PHP-systemen die draaien op versies minder dan 8.1.33, 8.2.29, 8.3.23, en 8.4.10.
Bestaat er al een patch of beveiligingsupdate?
Ja, updates zijn beschikbaar en het is essentieel dat deze worden toegepast om kwetsbaarheid te elimineren.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan het systeem destabiliseren door geslaagde SQL-injectie-aanvallen, wat leidt tot een crash van de toepassing.
