PHP: Sicherheitslücke bei libxml-Streams – Falscher Content-Type bei Weiterleitungen

Mitte März 2025 wurde in PHP in der libxml-Implementierung eine Sicherheitslücke bekannt (CVE-2025-1219). Betroffen sind die DOM- und SimpleXML-Erweiterungen, wenn HTTP-Ressourcen über libxml geladen werden und dabei Weiterleitungen erfolgen.

Beim Folgen von Redirects speichert der HTTP-Stream-Wrapper alle Header aller Anfragen in einem Array – ohne vorherige Bereinigung. Die Funktion zur Zeichencodierungserkennung (php_libxml_sniff_charset_from_stream) liest jedoch nur den ersten Content-Type-Header, unabhängig davon, ob dieser zur finalen Antwort gehört. Das kann zur falschen Interpretation der Zeichencodierung führen.

Ein Angreifer kann gezielt manipulierte Weiterleitungen einsetzen, um Inhalte in einer falschen Zeichenkodierung zu laden. Das kann die Bedeutung des Dokuments verändern und Prüfungen oder Filter umgehen. Besonders kritisch wird dies, wenn das Dokument später mit ->saveHtml() exportiert wird – dann bleibt die ursprüngliche Zeichencodierung erhalten, was zu inkonsistenter oder gefährlicher Ausgabe führen kann.

Das Problem wurde in den folgenden PHP-Versionen behoben:

  • PHP 8.1.32
  • PHP 8.2.28
  • PHP 8.3.19
  • PHP 8.4.5

Quelle: GHSA-p3x9-6h7p-cgfc (GitHub)

Related Posts

Kritische Kubernetes-Schwachstelle im Ingress NGINX Controller ermöglicht Clusterübernahme

Am 24. März 2025 wurden mehrere Schwachstellen im weit verbreiteten Ingress NGINX Controller für Kubernetes veröffentlicht – darunter die kritische Lücke CVE-2025-1974, die mit einem CVSS-Score von 9.8 bewertet wird. Insgesamt sind fünf Schwachstellen betroffen, von denen vier die Remote Code Execution (RCE) ermöglichen. Sie betreffen vor allem Installationen, bei denen der Validating Admission Controller öffentlich erreichbar ist oder auf anderem Weg kompromittiert werden kann.

Read More

VMware-VM-Exploits führen zu Hypervisor-Kontrolle und Ransomware-Angriffen

Am 19. März 2025 veröffentlichte Sicherheitsexperte Nital Ruzin eine brisante Analyse zu aktiven Angriffen auf VMware-Umgebungen. Die Ausnutzung dreier kritischer Schwachstellen (CVE-2025-22224, -22225, -22226) ermöglicht sogenannten VM Escapes, bei denen Angreifer aus einer kompromittierten virtuellen Maschine ausbrechen und Kontrolle über den Hypervisor (ESXi) erlangen – eine Eintrittskarte für die großflächige Ransomware-Verteilung.

Read More

Kritische Sicherheitslücke in CrushFTP ermöglicht unautorisierte Zugriffe (CVE-2025-2825)

In den Versionen 10.0.0 bis 10.8.3 sowie 11.0.0 bis 11.3.0 der Filetransfer-Software CrushFTP wurde eine schwerwiegende Sicherheitslücke entdeckt. Die Schwachstelle erlaubt es Angreifern, über unauthentifizierte HTTP-Anfragen Zugriff auf das System zu erlangen – ohne Login.

Read More