Bahasa pemrograman PHP menemukan 2 kerentanan keamanan lagi

Menurut Security Online , dua kerentanan baru dalam PHP telah ditemukan dan diberi pengidentifikasi CVE-2023-3823 dan CVE-2023-3824. Bug CVE-2023-3823 memiliki skor CVSS 8,6 dan merupakan kerentanan pengungkapan informasi, yang memungkinkan penyerang jarak jauh untuk mendapatkan informasi sensitif dari aplikasi PHP.

Kerentanan ini disebabkan oleh validasi yang tidak memadai terhadap masukan XML yang diberikan pengguna. Penyerang dapat mengeksploitasinya dengan mengirimkan berkas XML yang dirancang khusus ke aplikasi. Kode tersebut akan diurai oleh aplikasi dan penyerang dapat mengakses informasi sensitif, seperti isi berkas di sistem atau hasil permintaan eksternal.

Bahayanya adalah bahwa setiap aplikasi, pustaka, dan server yang mengurai atau berinteraksi dengan dokumen XML rentan terhadap kerentanan ini.

Sementara itu, CVE-2023-3824 adalah kerentanan buffer overflow dengan skor CVSS 9,4, yang memungkinkan penyerang jarak jauh mengeksekusi kode arbitrer pada sistem yang menjalankan PHP. Kerentanan ini disebabkan oleh suatu fungsi dalam PHP yang melakukan pemeriksaan batas yang tidak tepat. Penyerang dapat mengeksploitasinya dengan mengirimkan permintaan yang dirancang khusus ke aplikasi, sehingga menyebabkan buffer overflow dan mendapatkan kendali atas sistem untuk mengeksekusi kode arbitrer.

Karena bahaya ini, pengguna disarankan untuk memperbarui sistem mereka ke PHP versi 8.0.30 sesegera mungkin. Selain itu, langkah-langkah harus diambil untuk melindungi aplikasi PHP dari serangan, seperti memvalidasi semua masukan pengguna dan menggunakan firewall aplikasi web (WAF).