Какие версии PHP получают обновления безопасности?

PHP Foundation поддерживает 3 актуальные ветки одновременно: активная разработка + security-only + EOL-переход. На апрель 2026 года обновления безопасности получают PHP 8.2, 8.3 и 8.4. Версии 7.4 и 8.0/8.1 больше не поддерживаются — новые CVE остаются без патчей. Если ваш веб-сервер работает на PHP 7.x, каждая новая уязвимость — незакрываемый риск.

Чем опасна уязвимость в PHP-интерпретаторе?

Уязвимость в PHP затрагивает все веб-приложения на сервере: Битрикс, WordPress, Laravel, CRM, личные кабинеты. Типовые последствия: удалённое выполнение кода (RCE) через обработку CGI-параметров, чтение произвольных файлов через обход ограничений open_basedir, отказ в обслуживании через переполнение буфера в расширениях. PHP работает с правами веб-сервера — компрометация даёт доступ к БД и файлам всех сайтов.

Как отслеживать CVE PHP в БДУ ФСТЭК?

На этой странице в реальном времени показаны последние уязвимости PHP из реестра БДУ ФСТЭК с CVSS-оценками и CVE-идентификаторами. Для систематического мониторинга SGRC-платформа КиберОснова сопоставляет версии PHP на ваших серверах с записями БДУ и уведомляет при появлении новых CVE, рассчитывая SLA устранения по приказу ФСТЭК №117.

Уязвимости PHP: CVE, БДУ ФСТЭК и мониторинг

Name: Уязвимости PHP — БДУ ФСТЭК
Creator: ФСТЭК России
License: https://bdu.fstec.ru/

Уязвимости PHP из реестра БДУ ФСТЭК: 478 записей. CVE, CVSS-оценки и сроки устранения по приказу ФСТЭК №117.

478уязвимостей в БДУ

Данные на этой странице обновляются автоматически на основании реестра БДУ ФСТЭК России и открытых источников (NVD, CISA KEV, FIRST EPSS). Информация носит справочный характер и не заменяет профессиональный анализ уязвимостей в конкретной инфраструктуре. Перед принятием решений по устранению рекомендуем верифицировать данные в первоисточнике и учитывать специфику вашей среды.

Уязвимости PHP из БДУ ФСТЭК

Последняя уязвимость: 10 марта 2026 г.·Проверено: 5 апреля 2026 г.

Показаны уязвимости с подтверждённой эксплуатацией (KEV, EPSS ≥ 10%, exploit). Всего в БДУ: 478.

Уязвимость функции mailSend библиотеки PHPMailer, позволяющая нарушителю выполнить произвольный код

Уязвимость компонента sapi/cgi/cgi_main.c интерпретатора языка программирования PHP, позволяющая нарушителю выполнить произвольный код

Уязвимость интерпретатора языка программирования PHP, существующая из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системмы, позволяющая нарушителю вып

Уязвимость компонента thinkphp/library/think/App.php фреймворка ThinkPHP, позволяющая нарушителю выполнить произвольный PHP код в целевой системе

Уязвимость фреймворка ThinkPHP, связанная с неверным управлением генерацией кода, позволяющая нарушителю выполнить произвольные команды

Уязвимость компонента Util/PHP/eval-stdin.php фреймворка PHPUnit, позволяющая нарушителю выполнить произвольный PHP-код

Уязвимость компонента sapi/fpm/fpm/fpm_main.c расширения PHP-FPM интерпретатора языка программирования PHP, позволяющая нарушителю выполнять произвольные команды

Уязвимость файла setup.php веб-приложения для администрирования систем управления базами данных phpMyAdmin, позволяющая нарушителю выполнить произвольный PHP-код

Уязвимость класса Archive_Tar библиотеки PHP классов PEAR, позволяющая нарушителю выполнить перезапись защищаемых файлов

Уязвимость файла Tar.php пакета Archive_Tar библиотеки классов PHP PEAR, связанная с некорректным ограничением имени пути к каталогу, позволяющая нарушителю оказать воздействие на целостность данных

2021CVE-2020-36193

Все 478 уязвимостей PHP в реестре Подключить мониторинг уязвимостей

Почему важно отслеживать уязвимости PHP

PHP — язык, на котором работают WordPress, Битрикс, Laravel, Symfony и большинство российских веб-приложений. Уязвимость в PHP-интерпретаторе затрагивает все приложения на сервере. Типовые CVE: инъекции через обработку параметров (CGI, FastCGI), переполнение буфера в расширениях (mbstring, json, openssl), обход ограничений через десериализацию объектов. PHP Foundation выпускает обновления безопасности для актуальных версий (8.2, 8.3, 8.4). Устаревшие версии (7.4 и ниже) больше не получают патчей — каждая новая CVE остаётся без исправления. Мониторинг CVE PHP через БДУ ФСТЭК необходим для всех веб-серверов организации.

Сроки устранения по приказу ФСТЭК №117

Приказ ФСТЭК №117 (п. 38) устанавливает сроки устранения уязвимостей в зависимости от уровня критичности. Отсчёт начинается с момента выявления уязвимости в инфраструктуре оператора. Методика КЗИ дополнительно контролирует: уязвимости с опубликованным патчем не должны оставаться неустранёнными более 30 дней (для устройств на периметре) или 90 дней (для внутренних систем).

Критический

CVSS 9.0–10.0

24 часа

Высокий

CVSS 7.0–8.9

7 дней

Средний

CVSS 4.0–6.9

30 дней

Низкий

CVSS 0.1–3.9

Плановое

Полезные ресурсы

Реестр БДУ ФСТЭК

Полный поиск по уязвимостям PHP

Калькулятор CVSS v4.0

Рассчитайте критичность уязвимости

Приказ ФСТЭК №117

SLA на устранение и требования к мониторингу

Модуль БДУ ФСТЭК

Автоматический мониторинг уязвимостей PHP в SGRC

FAQ

Вопросы об уязвимостях PHP

Не нашли ответ? Напишите нам

Автоматизируйте мониторинг уязвимостей PHP

SGRC-платформа КиберОснова: синхронизация с БДУ ФСТЭК, расчёт SLA, уведомления.