Se han descubierto dos vulnerabilidades de seguridad más en el lenguaje de programación PHP.

Según Security Online , se han descubierto dos nuevas vulnerabilidades en PHP, identificadas como CVE-2023-3823 y CVE-2023-3824. La vulnerabilidad CVE-2023-3823, con un índice CVSS de 8.6, es una vulnerabilidad de divulgación de información que permite a atacantes remotos obtener información confidencial de aplicaciones PHP.

Esta vulnerabilidad se debe a una validación incompleta de la entrada XML proporcionada por el usuario. Un atacante puede explotarla enviando un archivo XML especialmente diseñado a la aplicación. La aplicación analizará el código, lo que permitirá al atacante acceder a información confidencial, como el contenido de los archivos del sistema o los resultados de solicitudes externas.

El peligro radica en el hecho de que cualquier aplicación, biblioteca o servidor que analice o interactúe con documentos XML es vulnerable a esta falla.

Mientras tanto, la vulnerabilidad CVE-2023-3824 es una vulnerabilidad de desbordamiento de búfer con una puntuación CVSS de 9,4, que permite a un atacante remoto ejecutar código arbitrario en un sistema basado en PHP. Esta vulnerabilidad se debe a que una función de PHP comprueba incorrectamente los límites. Un atacante puede explotarla enviando una solicitud especial a la aplicación, lo que provoca un desbordamiento de búfer y toma el control del sistema para ejecutar código arbitrario.

Debido a este peligro, se recomienda a los usuarios actualizar sus sistemas a la versión 8.0.30 de PHP lo antes posible. Además, deben tomar medidas para proteger las aplicaciones PHP de ataques, como autenticar todas las entradas de usuario y usar un firewall de aplicaciones web (WAF).