Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en PHP (CVE-2025-1861)

Gravedad CVSS v4.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
30/03/2025
Última modificación:
02/07/2025

Descripción

En PHP desde 8.1.* antes de 8.1.32, desde 8.2.* antes de 8.2.28, desde 8.3.* antes de 8.3.19, desde 8.4.* antes de 8.4.5, al analizar la redirección HTTP en la respuesta a una solicitud HTTP, actualmente hay un límite en el tamaño del valor de ubicación debido al tamaño limitado del búfer de ubicación a 1024. Sin embargo, según RFC9110, se recomienda que el límite sea 8000. Esto puede provocar un truncamiento incorrecto de la URL y la redirección a una ubicación incorrecta.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:php:php:*:*:*:*:*:*:*:* 8.1.0 (incluyendo) 8.1.31 (excluyendo)
cpe:2.3:a:php:php:*:*:*:*:*:*:*:* 8.2.0 (incluyendo) 8.2.26 (excluyendo)
cpe:2.3:a:php:php:*:*:*:*:*:*:*:* 8.3.0 (incluyendo) 8.3.14 (excluyendo)
cpe:2.3:a:php:php:*:*:*:*:*:*:*:* 8.4.0 (incluyendo) 8.4.5 (excluyendo)
cpe:2.3:a:netapp:ontap:9:*:*:*:*:*:*:*