Für PHP wurden mehrere schwerwiegende Sicherheitslücken mit einem hohen Gesamtrisiko (CVSS 8.6) geschlossen. Betroffen sind PHP-Versionen unterhalb von 8.1.34, 8.2.30, 8.3.29, 8.4.16 und 8.5.1. Die Schwachstellen erlauben unter anderem das Ausspähen von Informationen, die Ausführung beliebigen Programmcodes sowie Denial-of-Service-Angriffe – ohne erforderliche Privilegien und aus der Ferne.
Im Rahmen der Aktualisierungen wurden seit Dezember 2025 zahlreiche Distributionen versorgt. Ubuntu stellt Updates für 18.04 ESM, 20.04 ESM, 22.04 LTS, 24.04 LTS sowie die Versionen 25.04 und 25.10 bereit. Debian 13 Trixie erhielt PHP 8.4.16, openSUSE Leap 15.6 PHP 8.2.30 und SUSE Linux Enterprise Server 15 SP7 PHP 8.3.29. Für Fedora 42 und 43 sind entsprechende Pakete aktuell im Testing-Status verfügbar.
Konkret behoben wurden eine Speicherleck-Schwachstelle in getimagesize (CVE-2025-14177), ein Heap-Buffer-Overflow in array_merge mit möglicher Remote-Code-Ausführung (CVE-2025-14178), eine DoS-Schwachstelle in PDO durch NULL-Pointer-Dereferenzierung (CVE-2025-14180) sowie eine SSRF-Lücke in DNS-Funktionen bei fehlerhafter Null-Byte-Behandlung (GHSA-www2-q4fc-65wf). Administratoren wird dringend empfohlen, die bereitgestellten Sicherheitsupdates zeitnah einzuspielen.
