Plataforma
php
Componente
php-src
Corregido en
8.1.33
8.2.29
8.3.23
8.4.10
Se ha descubierto una vulnerabilidad de seguridad en PHP que afecta a las versiones 8.1.x, 8.2.x, 8.3.x y 8.4.x anteriores a las versiones 8.1.33, 8.2.29, 8.3.23 y 8.4.10 respectivamente. Esta vulnerabilidad se debe a la falta de validación de caracteres nulos en funciones como fsockopen(), lo que puede llevar a un comportamiento inesperado en funciones como parse_url(). La actualización a la versión 8.4.10 corrige esta vulnerabilidad.
Esta vulnerabilidad permite a un atacante, a través de la manipulación de la entrada de hostname en funciones como fsockopen(), influir en el comportamiento de otras funciones como parse_url(). Esto podría permitir a un atacante eludir controles de acceso o realizar acciones no autorizadas en el sistema. Aunque la severidad es clasificada como baja, la amplia adopción de PHP y la posibilidad de explotación en aplicaciones web hacen que esta vulnerabilidad sea un riesgo significativo. La falta de validación abre la puerta a la inyección de caracteres que pueden alterar la interpretación de la URL, potencialmente permitiendo el acceso a recursos protegidos o la ejecución de código malicioso si la aplicación no implementa validaciones adicionales.
La vulnerabilidad CVE-2025-1220 no ha sido agregada al KEV (Know Exploited Vulnerabilities) de CISA al momento de la publicación. La puntuación EPSS (Exploit Prediction Scoring System) es probablemente baja, dado el CVSS score de 3.7, indicando una baja probabilidad de explotación activa. No se han reportado públicamente pruebas de concepto (PoCs) activas para esta vulnerabilidad. La publicación de la vulnerabilidad se realizó el 13 de julio de 2025.
Applications built using PHP that rely on user-supplied hostnames for access control or resource identification are at risk. This includes web applications that connect to external services or databases using dynamically constructed URLs. Legacy PHP applications with outdated security practices are particularly vulnerable.
• php: Examine PHP application code for instances of fsockopen() and parse_url() where hostnames are used without proper validation. Look for patterns where user-supplied input is directly passed to these functions.
// Example of vulnerable code
$hostname = $_GET['hostname'];
$url = parse_url('http://' . $hostname);
$ip = $url['host'];• linux / server: Monitor PHP error logs (typically in /var/log/php_errors.log) for errors related to URL parsing or hostname resolution. Use journalctl -u php-fpm to filter for relevant errors.
• generic web: Use curl to test endpoints that accept hostnames as parameters. Attempt to inject null characters into the hostname and observe the response. curl -H "Host: example.com%00" http://your-application/
disclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar a la versión corregida de PHP, 8.4.10 o superior. Si la actualización inmediata no es posible, se recomienda revisar el código de la aplicación para identificar y validar correctamente las entradas de hostname antes de utilizarlas en funciones como fsockopen() y parseurl(). Implementar una validación estricta de los caracteres permitidos en los hostnames puede ayudar a prevenir la explotación. Se recomienda también revisar las configuraciones del servidor web para asegurar que no se están exponiendo endpoints vulnerables. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que las funciones fsockopen() y parseurl() validan correctamente los hostnames.
Actualice PHP a la última versión disponible. Asegúrese de actualizar a las versiones 8.1.33, 8.2.29, 8.3.23 o 8.4.10 o superior, según corresponda a su rama de PHP. Esto corregirá la vulnerabilidad de terminación de byte nulo en las funciones afectadas.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-1220 is a vulnerability in PHP 8.1.0-8.4.10 where inadequate hostname validation in functions like fsockopen() can lead to bypasses of access controls when using parse_url().
You are affected if you are running PHP versions 8.1.0 through 8.1.32, 8.2.0 through 8.2.28, 8.3.0 through 8.3.22, or 8.4.0 through 8.4.9.
Upgrade to PHP 8.4.10 or later. If upgrading is not possible, implement stricter input validation to sanitize hostnames before using fsockopen() and parse_url().
There is currently no indication of active exploitation campaigns targeting CVE-2025-1220.
Refer to the official PHP security advisory for details: [https://security.php.net/advisory/CVE-2025-1220](https://security.php.net/advisory/CVE-2025-1220)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.