Le langage de programmation PHP a découvert 2 nouvelles failles de sécurité.

Selon Security Online , deux nouvelles vulnérabilités dans PHP ont été découvertes et référencées CVE-2023-3823 et CVE-2023-3824. La vulnérabilité CVE-2023-3823, qui présente un score CVSS de 8,6, est une faille de divulgation d'informations permettant à des attaquants distants d'obtenir des données sensibles depuis l'application PHP.

Cette vulnérabilité est due à une validation insuffisante des données XML fournies par l'utilisateur. Un attaquant pourrait l'exploiter en envoyant à l'application un fichier XML spécialement conçu à cet effet. Le code serait alors analysé par l'application, permettant à l'attaquant d'accéder à des informations sensibles, telles que le contenu des fichiers système ou les résultats de requêtes externes.

Le danger réside dans le fait que toute application, bibliothèque et serveur qui analyse ou interagit avec des documents XML est vulnérable à cette faille.

Par ailleurs, la vulnérabilité CVE-2023-3824, un dépassement de tampon avec un score CVSS de 9,4, permet à un attaquant distant d'exécuter du code arbitraire sur les systèmes PHP. Cette vulnérabilité est due à une fonction PHP qui ne vérifie pas correctement ses limites. Un attaquant peut l'exploiter en envoyant une requête spécialement conçue à l'application, ce qui provoque un dépassement de tampon et lui permet de prendre le contrôle du système pour exécuter du code arbitraire.

En raison de ce risque, il est conseillé aux utilisateurs de mettre à jour leurs systèmes vers PHP version 8.0.30 dès que possible. De plus, des mesures doivent être prises pour protéger les applications PHP contre les attaques, telles que la validation de toutes les entrées utilisateur et l'utilisation d'un pare-feu applicatif web (WAF).