Plataforma
php
Componente
php-src
Corrigido em
8.1.33
8.2.29
8.3.23
8.4.10
A vulnerabilidade CVE-2025-1220 afeta o PHP, permitindo que atacantes explorem uma falha de validação em funções como fsockopen(). Essa falha ocorre devido à ausência de validação adequada de caracteres nulos no hostname fornecido, o que pode levar a um comportamento inesperado em funções como parse_url(). As versões afetadas incluem PHP 8.1.0 até 8.1.32, 8.2.0 até 8.2.28, 8.3.0 até 8.3.22 e 8.4.0 até 8.4.9. A correção está disponível na versão 8.4.10.
A exploração bem-sucedida desta vulnerabilidade pode permitir que um atacante manipule o hostname usado por funções como parse_url(), potencialmente levando a problemas de segurança. Um atacante poderia injetar caracteres nulos em um hostname, fazendo com que o PHP interprete o hostname de forma diferente do esperado. Isso pode levar a acesso não autorizado a recursos, execução de código malicioso ou outras ações não autorizadas, dependendo de como o código da aplicação utiliza essas funções. Embora a severidade seja classificada como baixa, a ampla utilização do PHP em diversas aplicações web torna essa vulnerabilidade um risco significativo, especialmente em ambientes onde a entrada do usuário não é devidamente validada.
A vulnerabilidade CVE-2025-1220 foi divulgada em 13 de julho de 2025. Não há informações disponíveis sobre exploração ativa ou adição ao KEV (CISA KEV catalog) no momento da redação. A ausência de um PoC público não significa que a vulnerabilidade não possa ser explorada, mas indica um risco atualmente considerado baixo. É importante monitorar a situação e aplicar a correção o mais rápido possível.
Applications built using PHP that rely on user-supplied hostnames for access control or resource identification are at risk. This includes web applications that connect to external services or databases using dynamically constructed URLs. Legacy PHP applications with outdated security practices are particularly vulnerable.
• php: Examine PHP application code for instances of fsockopen() and parse_url() where hostnames are used without proper validation. Look for patterns where user-supplied input is directly passed to these functions.
// Example of vulnerable code
$hostname = $_GET['hostname'];
$url = parse_url('http://' . $hostname);
$ip = $url['host'];• linux / server: Monitor PHP error logs (typically in /var/log/php_errors.log) for errors related to URL parsing or hostname resolution. Use journalctl -u php-fpm to filter for relevant errors.
• generic web: Use curl to test endpoints that accept hostnames as parameters. Attempt to inject null characters into the hostname and observe the response. curl -H "Host: example.com%00" http://your-application/
disclosure
Status do Exploit
EPSS
0.04% (percentil 11%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-1220 é atualizar para a versão corrigida do PHP (8.4.10 ou superior). Se a atualização imediata não for possível, considere implementar medidas de validação de entrada mais rigorosas no código da aplicação para garantir que os hostnames fornecidos não contenham caracteres nulos. Em alguns casos, pode ser possível implementar um filtro de entrada personalizado para remover ou escapar caracteres nulos antes de passá-los para as funções vulneráveis. Além disso, monitore os logs do servidor em busca de atividades suspeitas relacionadas a manipulação de hostname. Após a atualização, confirme a correção executando testes de segurança para verificar se a vulnerabilidade foi efetivamente mitigada.
Atualize o PHP para a última versão disponível. Certifique-se de atualizar para as versões 8.1.33, 8.2.29, 8.3.23 ou 8.4.10 ou superior, conforme apropriado para sua versão do PHP. Isso corrigirá a vulnerabilidade de terminação de byte nulo nas funções afetadas.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-1220 is a vulnerability in PHP 8.1.0-8.4.10 where inadequate hostname validation in functions like fsockopen() can lead to bypasses of access controls when using parse_url().
You are affected if you are running PHP versions 8.1.0 through 8.1.32, 8.2.0 through 8.2.28, 8.3.0 through 8.3.22, or 8.4.0 through 8.4.9.
Upgrade to PHP 8.4.10 or later. If upgrading is not possible, implement stricter input validation to sanitize hostnames before using fsockopen() and parse_url().
There is currently no indication of active exploitation campaigns targeting CVE-2025-1220.
Refer to the official PHP security advisory for details: [https://security.php.net/advisory/CVE-2025-1220](https://security.php.net/advisory/CVE-2025-1220)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.