Otkrivene su kritične sigurnosne ranjivosti u PHP-u koje bi mogle omogućiti napadačima izvođenje SQL injection napada i stvaranje uvjeta za uskraćivanje usluge (DoS). Dvije odvojene ranjivosti, dodijeljene oznakama CVE-2025-1735 i CVE-2025-6491, utječu na više verzija PHP-a i zahtijevaju hitno ažuriranje. Navedene ranjivosti pogađaju PHP instalacije koje koriste verzije starije od 8.1.33, 8.2.29, 8.3.23 i 8.4.10, a za sve zahvaćene verzije su sada dostupni zakrpe.
Prva ranjivost, CVE-2025-1735, odnosi se na PostgreSQL ekstenziju u PHP-u i proizlazi iz nedovoljne provjere grešaka prilikom operacija izdvajanja znakova (escaping). Problem se javlja kada PHP koristi funkcije za izdvajanje bez odgovarajućeg rukovanja parametrom greške, konkretno, ne prosljeđujući parametre greške funkciji PQescapeStringConn(). Ova propust u provjeri grešaka mogla bi dovesti do ranjivosti SQL injection i padova aplikacija uslijed dereferenciranja null pokazivača. Ranjivost je izravno povezana s PostgreSQL-ovom CVE-2025-1094, prvobitno prijavljenoj projektu PostgreSQL. Istraživači sigurnosti su otkrili da PHP-ova implementacija ne dopušta pravilno izvještavanje o greškama tokom operacija izdvajanja, potencijalno ostavljajući aplikacije ranjivim čak i kada PostgreSQL pokuša aktivirati greške na strani servera za nevažeće kodirane znakove. Dodatno, više poziva funkciji PQescapeIdentifier() ne provjerava povratne null vrijednosti, što predstavlja dokumentirani način izvještavanja o greškama. Ovaj propust može uzrokovati nedefinirano ponašanje (UB) ili padove aplikacija u raznim tokovima koda.
Druga ranjivost, CVE-2025-6491, utječe na SOAP ekstenziju u PHP-u i može uzrokovati segmentacijske greške koje vode do uskraćivanja usluge. Greška se manifestira kada se instanca SoapVar kreira s potpuno kvalifikovanim imenom koje prelazi veličinu od 2 GB, što pokreće dereferenciranje null pokazivača i rezultira trenutnim prekidom rada aplikacije. Ranjivost je uzrokovana ograničenjima u verzijama libxml2 starijim od 2.13, koje ne mogu pravilno rukovati pozivima funkciji xmlNodeSetName() s imenima dužim od 2 GB. Ovo ostavlja XML objektima čvorova u nevažećem stanju s null imenima, što naknadno dovodi do padova tokom serializacije poruka. Vektor napada uključuje kreiranje zlonamjerne SoapVar instance s prevelikim prefiksom imenskog prostora, kako je demonstrirano u kodu za dokaz koncepta koji generira segmentacijsku grešku putem funkcije xmlBuildQName(). Ranjivost ima CVSS ocjenu 5.9, što ukazuje na umjerenu ozbiljnost, ali značajan potencijal za poremećaj usluga. Ahmed Leksa sa Qatar Computing Research Institute-a otkrio je ovu ranjivost koja utječe na svaku PHP instalaciju sa omogućenom SOAP ekstenzijom. Administratorima se savjetuje da odmah ažuriraju na zakrpljene verzije: 8.1.33, 8.2.29, 8.3.23 ili 8.4.10. Ova ažuriranja rješavaju obje ranjivosti i obnavljaju ispravne mehanizme rukovanja greškama u zahvaćenim ekstenzijama.
