Secondo Security Online , sono state scoperte due nuove vulnerabilità in PHP, a cui sono stati assegnati gli identificativi CVE-2023-3823 e CVE-2023-3824. La vulnerabilità CVE-2023-3823, con un indice CVSS di 8.6, è una vulnerabilità di divulgazione di informazioni che consente ad aggressori remoti di ottenere informazioni sensibili dalle applicazioni PHP.
Questa vulnerabilità deriva da una convalida incompleta dell'input XML fornito dall'utente. Un utente malintenzionato può sfruttarla inviando all'applicazione un file XML appositamente creato. L'applicazione analizzerà quindi il codice, consentendo all'attaccante di accedere a informazioni sensibili, come il contenuto dei file di sistema o i risultati delle richieste esterne.
Il pericolo risiede nel fatto che qualsiasi applicazione, libreria o server che analizza o interagisce con documenti XML è vulnerabile a questa falla.
Essendo un linguaggio di programmazione ampiamente utilizzato, PHP presenta gravi vulnerabilità di sicurezza.
Nel frattempo, la vulnerabilità CVE-2023-3824 è una vulnerabilità di buffer overflow con un punteggio CVSS di 9.4, che consente a un attaccante remoto di eseguire codice arbitrario su un sistema basato su PHP. Questa vulnerabilità è causata da una funzione PHP che controlla in modo errato i limiti. Un attaccante può sfruttarla inviando una richiesta speciale all'applicazione, causando così un buffer overflow e ottenendo il controllo del sistema per eseguire codice arbitrario.
A causa di questo pericolo, si consiglia agli utenti di aggiornare i propri sistemi alla versione 8.0.30 di PHP il prima possibile. Inoltre, dovrebbero anche adottare misure per proteggere le applicazioni PHP dagli attacchi, come l'autenticazione di tutti gli input dell'utente e l'utilizzo di un firewall per applicazioni web (WAF).
Link alla fonte
![[Foto] Tran Cam Tu, membro del Comitato permanente del Comitato centrale del Partito, al lavoro con il Comitato centrale di ispezione.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/05/28/1779969579668_ndo_br_bnd-2495-jpg.webp)
Commento (0)