Duas vulnerabilidades em funções de processamento de imagens do PHP podem permitir vazamento de memória sensível e ataques de negação de serviço a partir de arquivos JPEG especialmente criados.
As falhas afetam recursos usados por aplicações web, CMS, webmails e serviços que analisam imagens enviadas por usuários.
Os problemas foram encontrados na extensão ext/standard do PHP e envolvem as funções getimagesize e iptcembed, responsáveis por processar metadados JPEG e dados IPTC.
O risco é maior em servidores que aceitam uploads públicos e executam análise automática de imagens no backend.
A primeira falha, rastreada como CVE-2025-14177, recebeu pontuação CVSS 6.3 e permite divulgação de informações.
A segunda vulnerabilidade afeta a função iptcembed, usada para incorporar dados IPTC em imagens JPEG.
Nesses casos, o PHP pode calcular um tamanho insuficiente para o buffer e continuar copiando dados até o fim do fluxo, provocando escrita fora dos limites.
As versões vulneráveis incluem PHP 8.1 antes da 8.1.34, 8.2 antes da 8.2.30, 8.3 antes da 8.3.29, 8.4 antes da 8.4.16 e 8.5 antes da 8.5.1.
As correções ajustam a leitura sequencial de blocos e adicionam verificações de limite no processamento IPTC.
