CVE-2015-6834

Multiple use-after-free vulnerabilities in PHP before 5.4.45, 5.5.x before 5.5.29, and 5.6.x before 5.6.13 allow remote attackers to execute arbitrary code via vectors related to (1) the Serializable interface, (2) the SplObjectStorage class, and (3) the SplDoublyLinkedList class, which are mishandled during unserialization.

Published: May 16, 2016
Updated: Nov 8, 2023
CVE: CVE-2015-6834
Severity: Critical
Exploit:

CVSS v3:

Severity: Critical
Score: 9.8
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVSS v2:

Severity: High
Score: 7.5
AV:N/AC:L/Au:N/C:P/I:P/A:P

No CWE or OWASP classifications available.

Affected Software
References

Software	From	Fixed in
php / php	5.6.1	5.6.1.x
php / php	5.6.5	5.6.5.x
php / php	5.5.19	5.5.19.x
php / php	5.6.12	5.6.12.x
php / php	5.5.25	5.5.25.x
php / php	5.5.0	5.5.0.x
php / php	5.5.16	5.5.16.x
php / php	5.6.0	5.6.0.x
php / php	5.5.1	5.5.1.x
php / php	5.5.5	5.5.5.x
php / php	5.6.4	5.6.4.x
php / php	5.5.21	5.5.21.x
php / php	5.6.6	5.6.6.x
php / php	5.5.17	5.5.17.x
php / php	5.5.14	5.5.14.x
php / php	5.5.7	5.5.7.x
php / php	5.6.11	5.6.11.x
php / php	5.6.2	5.6.2.x
php / php	5.6.10	5.6.10.x
php / php	5.5.12	5.5.12.x
php / php	5.5.6	5.5.6.x
php / php	5.6.7	5.6.7.x
php / php	5.5.3	5.5.3.x
php / php	5.5.23	5.5.23.x
php / php	5.5.8	5.5.8.x
php / php	5.5.27	5.5.27.x
php / php	-	5.4.44.x
php / php	5.5.24	5.5.24.x
php / php	5.5.15	5.5.15.x
php / php	5.5.11	5.5.11.x
php / php	5.5.13	5.5.13.x
php / php	5.5.4	5.5.4.x
php / php	5.5.28	5.5.28.x
php / php	5.5.26	5.5.26.x
php / php	5.6.9	5.6.9.x
php / php	5.5.10	5.5.10.x
php / php	5.6.3	5.6.3.x
php / php	5.5.22	5.5.22.x
php / php	5.6.8	5.6.8.x
php / php	5.5.18	5.5.18.x
php / php	5.5.20	5.5.20.x
php / php	5.5.2	5.5.2.x
php / php	5.5.9	5.5.9.x

Vulnerability Database

290,206

CVE-2015-6834