Deux nouvelles failles de sécurité ont été découvertes dans le langage de programmation PHP.

Selon Security Online , deux nouvelles vulnérabilités dans PHP ont été découvertes et référencées CVE-2023-3823 et CVE-2023-3824. La vulnérabilité CVE-2023-3823, avec un indice CVSS de 8,6, est une vulnérabilité de divulgation d'informations qui permet à des attaquants distants d'obtenir des informations sensibles à partir d'applications PHP.

Cette vulnérabilité provient d'une validation incomplète des données XML saisies par l'utilisateur. Un attaquant peut l'exploiter en envoyant à l'application un fichier XML spécialement conçu à cet effet. L'application analysera alors le code, permettant ainsi à l'attaquant d'accéder à des informations sensibles, telles que le contenu des fichiers système ou les résultats de requêtes externes.

Le danger réside dans le fait que toute application, bibliothèque ou serveur qui analyse ou interagit avec des documents XML est vulnérable à cette faille.

Par ailleurs, la vulnérabilité CVE-2023-3824, une faille de dépassement de tampon avec un score CVSS de 9,4, permet à un attaquant distant d'exécuter du code arbitraire sur un système PHP. Cette vulnérabilité est due à une fonction PHP qui vérifie incorrectement les limites. Un attaquant peut l'exploiter en envoyant une requête spécifique à l'application, provoquant ainsi un dépassement de tampon et prenant le contrôle du système pour exécuter du code arbitraire.

En raison de ce risque, il est conseillé aux utilisateurs de mettre à jour leurs systèmes vers PHP version 8.0.30 dès que possible. Ils doivent également prendre des mesures pour protéger leurs applications PHP contre les attaques, notamment en authentifiant toutes les entrées utilisateur et en utilisant un pare-feu applicatif web (WAF).