PoC disponibili per CVE-2024-1220 e CVE-2025-6491 in PHP

Dettaglio tecnico

• Vulnerabilità:
  • CVE-2024-1220 – information disclosure nella gestione dei dati di ambiente.
  • CVE-2025-6491 – bypass delle restrizioni di sicurezza con possibile Denial of Service.
• PoC pubblici: exploit funzionanti circolano su repository GitHub e community di sicurezza, abbassando la barriera d’ingresso per gli attaccanti

Impatti potenziali

• Esposizione di variabili sensibili e configurazioni server (CVE-2024-1220).
• Aggiramento dei meccanismi “safe_mode”/“open_basedir” con crash del processo PHP o esecuzione di codice in condizioni particolari (CVE-2025-6491).
   

Fonti: ACN, Wiz.io, Greenbone