Plateforme
php
Composant
php-src
Corrigé dans
8.1.33
8.2.29
8.3.23
8.4.10
La vulnérabilité CVE-2025-1220 affecte les versions de PHP de 8.1.0 à 8.4.10. Elle se manifeste par un manque de validation des caractères null dans les noms d'hôtes utilisés par certaines fonctions, telles que fsockopen(). Cette omission peut induire la fonction parse_url() à traiter l'hôte de manière inattendue, ce qui peut conduire à des problèmes de sécurité si le code utilisateur effectue des vérifications d'accès avant d'utiliser ces fonctions. Une mise à jour vers la version 8.4.10 corrige ce problème.
Cette vulnérabilité de type Null Byte Injection permet à un attaquant d'injecter des caractères null dans les noms d'hôtes transmis à des fonctions telles que fsockopen(). En conséquence, la fonction parseurl() peut interpréter l'hôte de manière incorrecte, contournant potentiellement les contrôles d'accès mis en place par le code de l'application. Un attaquant pourrait ainsi accéder à des ressources non autorisées ou exécuter du code malveillant si le code de l'application utilise les informations renvoyées par parseurl() pour prendre des décisions de sécurité. Bien que la CVSS score soit faible, l'exploitation réussie pourrait compromettre la confidentialité et l'intégrité des données.
Cette vulnérabilité a été rendue publique le 13 juillet 2025. Il n'y a pas d'indication d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme faible en raison de la nécessité d'une manipulation précise des noms d'hôtes. Aucun Proof of Concept (PoC) public n'est actuellement disponible, mais la nature de la vulnérabilité suggère qu'un tel PoC pourrait être développé relativement facilement.
Applications built using PHP that rely on user-supplied hostnames for access control or resource identification are at risk. This includes web applications that connect to external services or databases using dynamically constructed URLs. Legacy PHP applications with outdated security practices are particularly vulnerable.
• php: Examine PHP application code for instances of fsockopen() and parse_url() where hostnames are used without proper validation. Look for patterns where user-supplied input is directly passed to these functions.
// Example of vulnerable code
$hostname = $_GET['hostname'];
$url = parse_url('http://' . $hostname);
$ip = $url['host'];• linux / server: Monitor PHP error logs (typically in /var/log/php_errors.log) for errors related to URL parsing or hostname resolution. Use journalctl -u php-fpm to filter for relevant errors.
• generic web: Use curl to test endpoints that accept hostnames as parameters. Attempt to inject null characters into the hostname and observe the response. curl -H "Host: example.com%00" http://your-application/
disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 11%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour PHP vers la version 8.4.10 ou ultérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution de contournement temporaire consiste à valider rigoureusement les noms d'hôtes avant de les transmettre à fsockopen() et parse_url(). Assurez-vous que les noms d'hôtes ne contiennent pas de caractères null. L'utilisation d'un Web Application Firewall (WAF) peut également aider à bloquer les requêtes malveillantes contenant des caractères null. Surveillez les journaux d'accès et d'erreurs pour détecter toute activité suspecte.
Mettez à jour PHP vers la dernière version disponible. Assurez-vous de mettre à jour vers les versions 8.1.33, 8.2.29, 8.3.23 ou 8.4.10 ou supérieure, selon la branche de PHP utilisée. Cela corrigera la vulnérabilité de terminaison par octet nul dans les fonctions affectées.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-1220 is a vulnerability in PHP 8.1.0-8.4.10 where inadequate hostname validation in functions like fsockopen() can lead to bypasses of access controls when using parse_url().
You are affected if you are running PHP versions 8.1.0 through 8.1.32, 8.2.0 through 8.2.28, 8.3.0 through 8.3.22, or 8.4.0 through 8.4.9.
Upgrade to PHP 8.4.10 or later. If upgrading is not possible, implement stricter input validation to sanitize hostnames before using fsockopen() and parse_url().
There is currently no indication of active exploitation campaigns targeting CVE-2025-1220.
Refer to the official PHP security advisory for details: [https://security.php.net/advisory/CVE-2025-1220](https://security.php.net/advisory/CVE-2025-1220)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.