In der Programmiersprache PHP wurden zwei weitere Sicherheitslücken entdeckt.

Laut Security Online wurden zwei neue Sicherheitslücken in PHP entdeckt und mit den Kennungen CVE-2023-3823 und CVE-2023-3824 versehen. Die Sicherheitslücke CVE-2023-3823 hat einen CVSS-Wert von 8,6 und ermöglicht es Angreifern, sensible Informationen aus der PHP-Anwendung zu erlangen.

Diese Schwachstelle beruht auf unzureichender Validierung der vom Benutzer eingegebenen XML-Daten. Ein Angreifer könnte sie ausnutzen, indem er eine speziell präparierte XML-Datei an die Anwendung sendet. Der Code würde von der Anwendung analysiert, und der Angreifer könnte auf sensible Informationen zugreifen, beispielsweise auf den Inhalt von Dateien im System oder auf die Ergebnisse externer Anfragen.

Die Gefahr besteht darin, dass jede Anwendung, Bibliothek und jeder Server, der XML-Dokumente analysiert oder mit ihnen interagiert, dieser Sicherheitslücke ausgesetzt ist.

CVE-2023-3824 ist eine Pufferüberlauf-Schwachstelle mit einem CVSS-Wert von 9,4, die es Angreifern ermöglicht, beliebigen Code auf Systemen mit PHP auszuführen. Die Schwachstelle entsteht durch eine PHP-Funktion, die ihre Grenzen nicht korrekt prüft. Ein Angreifer kann dies ausnutzen, indem er eine speziell präparierte Anfrage an die Anwendung sendet. Dies führt zu einem Pufferüberlauf und verschafft dem Angreifer die Kontrolle über das System, um beliebigen Code auszuführen.

Aufgrund dieser Gefahr wird Benutzern empfohlen, ihre Systeme schnellstmöglich auf PHP-Version 8.0.30 zu aktualisieren. Zusätzlich sollten Maßnahmen zum Schutz von PHP-Anwendungen vor Angriffen ergriffen werden, wie z. B. die Validierung aller Benutzereingaben und der Einsatz einer Web Application Firewall (WAF).