CVE-2025-14179 in PHP
Zusammenfassung
von VulDB • 24.05.2026
In PHP versioni 8.2.* prima di 8.2.31, 8.3.* prima di 8.3.31, 8.4.* prima di 8.4.21 e 8.5.* prima di 8.5.6, il driver PDO Firebird gestisce in modo errato i byte NUL durante la preparazione delle query SQL. Durante la costruzione della query token per token, un token di stringa contenente un byte NUL viene copiato tramite strncat(), che si interrompe al byte NUL, tralasciando la virgoletta di chiusura e facendo sì che i token SQL successivi vengano interpretati come parte della stringa. Ciò consente SQL injection quando i valori controllati dall'attaccante vengono quotati tramite PDO::quote() e incorporati nelle istruzioni SQL.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.