Vulnerabilidad en PHP (CVE-2025-1861)
Gravedad CVSS v4.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
30/03/2025
Última modificación:
02/07/2025
Descripción
En PHP desde 8.1.* antes de 8.1.32, desde 8.2.* antes de 8.2.28, desde 8.3.* antes de 8.3.19, desde 8.4.* antes de 8.4.5, al analizar la redirección HTTP en la respuesta a una solicitud HTTP, actualmente hay un límite en el tamaño del valor de ubicación debido al tamaño limitado del búfer de ubicación a 1024. Sin embargo, según RFC9110, se recomienda que el límite sea 8000. Esto puede provocar un truncamiento incorrecto de la URL y la redirección a una ubicación incorrecta.
Impacto
Puntuación base 4.0
6.30
Gravedad 4.0
MEDIA
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:php:php:*:*:*:*:*:*:*:* | 8.1.0 (incluyendo) | 8.1.31 (excluyendo) |
cpe:2.3:a:php:php:*:*:*:*:*:*:*:* | 8.2.0 (incluyendo) | 8.2.26 (excluyendo) |
cpe:2.3:a:php:php:*:*:*:*:*:*:*:* | 8.3.0 (incluyendo) | 8.3.14 (excluyendo) |
cpe:2.3:a:php:php:*:*:*:*:*:*:*:* | 8.4.0 (incluyendo) | 8.4.5 (excluyendo) |
cpe:2.3:a:netapp:ontap:9:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página