Selon Security Online , deux nouvelles vulnérabilités dans PHP ont été découvertes et attribuées aux identifiants CVE-2023-3823 et CVE-2023-3824. CVE-2023-3823 avec un score CVSS de 8,6 est une vulnérabilité de divulgation d'informations qui permet aux attaquants distants d'obtenir des informations sensibles à partir d'une application PHP.

Cette vulnérabilité est due à une validation insuffisante des entrées XML fournies par l'utilisateur. Un attaquant pourrait exploiter cela en envoyant un fichier XML spécialement conçu à l’application. Le code sera analysé par l'application et l'attaquant pourra accéder à des informations sensibles, telles que le contenu des fichiers du système ou les résultats de requêtes externes.

Le danger est que toute application, bibliothèque et serveur qui analyse ou interagit avec des documents XML est vulnérable à cette vulnérabilité.

Pendant ce temps, CVE-2023-3824 est une vulnérabilité de dépassement de tampon avec un score CVSS de 9,4, permettant aux attaquants distants d'exécuter du code arbitraire sur des systèmes utilisant PHP. Cette vulnérabilité est due à une fonction de PHP qui effectue une vérification incorrecte des limites. Un attaquant peut exploiter cela en envoyant une requête spécialement conçue à l'application, ce qui peut provoquer un dépassement de mémoire tampon et aider à prendre le contrôle du système pour exécuter du code arbitraire.

En raison de ce danger, il est conseillé aux utilisateurs de mettre à jour leurs systèmes vers la version PHP 8.0.30 dès que possible. De plus, des mesures doivent être prises pour protéger les applications PHP contre les attaques, telles que la validation de toutes les entrées utilisateur et l'utilisation d'un pare-feu d'application Web (WAF).