PHP’da xavfli zaifliklar aniqlandi: Ma’lumotlar bazasi va serverlar tahdid ostida

PHP dasturlash tilida ikki muhim xavfsizlik zaifligi aniqlandi. Bu zaifliklar orqali hujumchilar ma’lumotlar bazasiga noqonuniy tarzda kirib borishi yoki xizmatni to‘xtatib qo‘yishlari (DoS — Denial of Service) mumkin. Mazkur xatoliklar CVE-2025-1735 va CVE-2025-6491 identifikatorlari bilan qayd etilgan bo‘lib, ular 8.1.33, 8.2.29, 8.3.23 va 8.4.10 dan past bo‘lgan PHP versiyalariga ta’sir qiladi.

Muhim jihatlar:

CVE-2025-1735 — PostgreSQL kengaytmasidagi xatolik, SQL Injection hujumlariga yo‘l ochadi.
CVE-2025-6491 — SOAP kengaytmasidagi nuqson, xotira xatoliklari sababli xizmatni to‘xtatib qo‘yadi.
Zaiflik darajalari: CVE-2025-1735 — 9.1 (kritik), CVE-2025-6491 — 5.9 (o‘rtacha)
Yagona yechim: PHP’ni yangilash — 8.1.33, 8.2.29, 8.3.23 yoki 8.4.10 versiyalaridan biriga o‘tish zarur.

PostgreSQL kengaytmasidagi zaiflik (CVE-2025-1735)

Ushbu zaiflik PostgreSQL uchun mo‘ljallangan PHP kengaytmasida aniqlangan. Muammo — satrlarda ishlatiladigan qochirish funksiyalarida (escape functions) xatoliklarni to‘g‘ri tekshirmaslik bilan bog‘liq. Ayniqsa PQescapeStringConn() funksiyasiga xatolik parametrining yuborilmasligi hujumchiga zararli satrlarni soxta tarzda yuborish va SQL so‘rovlarini buzib kirish imkonini beradi.

Shuningdek, PQescapeIdentifier() funksiyasi NULL qiymatni qaytargan holatlarni tekshirmasligi natijasida noma’lum xatti-harakatlar yoki ilova ishdan chiqishi kuzatilishi mumkin.

Mazkur zaiflik aslida PostgreSQL loyihasida aniqlangan CVE-2025-1094 muammosi bilan chambarchas bog‘liq. PHP’dagi noto‘g‘ri moslashuv bu zaiflikni chuqurlashtirib yuborgan.

SOAP kengaytmasidagi DoS xurujlariga yo‘l ochuvchi xatolik (CVE-2025-6491)

Bu xatolik PHP’ning SOAP kengaytmasida bo‘lib, katta o‘lchamli (2 GB dan oshgan) namespacelar bilan ishlaganda xotira xatoliklarini keltirib chiqaradi.

Hujumchi maxsus SoapVar obyektini yaratib, bu obyektga haddan ortiq uzun namespace prefiksini biriktiradi. Bunday holatda xmlNodeSetName() funksiyasi NULL qiymat qaytaradi va bu segmentation faultga olib keladi — ya’ni ilova darhol yopiladi.

Bunday xurujlar tizimda xizmat ko‘rsatishni to‘xtatib qo‘yishi, foydalanuvchilarni serverdan uzib qo‘yishi mumkin. Ayniqsa libxml2 2.13 dan past versiyalar ishlatilayotgan tizimlar xavf ostida.

Tavsiya etilgan choralar

Tizim administratorlari quyidagi PHP versiyalaridan biriga zudlik bilan yangilanishlari kerak:

✅ PHP 8.1.33
✅ PHP 8.2.29
✅ PHP 8.3.23
✅ PHP 8.4.10

Shuningdek, libxml2 kutubxonasi ham 2.13 yoki undan yuqori versiyaga yangilanishi kerak, aks holda SOAP kengaytmasidagi zaiflik davom etaveradi.

PHP’dagi CVE-2025-1735 va CVE-2025-6491 zaifliklari jiddiy xavf tug‘diradi. Ulardan biri orqali ma’lumotlar bazasiga kirish mumkin bo‘lsa, ikkinchisi xizmatni to‘xtatib qo‘yishga olib keladi. Har ikkisi ham real xavf sifatida baholanmoqda.

Dasturchilar va xavfsizlik mutaxassislari ushbu zaifliklarga jiddiy yondoshishlari, tizimlarini zudlik bilan yangilashlari va kerakli xavfsizlik choralari ko‘rishlari lozim.

Kiberxavfsizlik hodisalariga
chora ko'rish xizmati

Kiberxavfsizlik hodisalariga
chora ko'rish xizmati

PHP’da xavfli zaifliklar aniqlandi: Ma’lumotlar bazasi va serverlar tahdid ostida

Muhim jihatlar:

PostgreSQL kengaytmasidagi zaiflik (CVE-2025-1735)

SOAP kengaytmasidagi DoS xurujlariga yo‘l ochuvchi xatolik (CVE-2025-6491)

Tavsiya etilgan choralar

Muhim jihatlar:

PostgreSQL kengaytmasidagi zaiflik (CVE-2025-1735)

SOAP kengaytmasidagi DoS xurujlariga yo‘l ochuvchi xatolik (CVE-2025-6491)

Tavsiya etilgan choralar

Fortinet FortiWeb’da xavfli zaiflik aniqlandi: Hujumchilar autentifikatsiyasiz tizimni boshqarishi mumkin

GravityForms plagini orqali WordPress saytlariga zararli kod joylashtirildi

Apache HTTP Server 2.4.64: Sakkizta xavfli zaiflikka barham berilgan yangi yangilanish