Security Onlineによると、PHPに新たな脆弱性が2件発見され、CVE-2023-3823およびCVE-2023-3824という識別子が付与されました。CVSSインデックス8.6のCVE-2023-3823脆弱性は、リモート攻撃者がPHPアプリケーションから機密情報を取得できる情報漏洩の脆弱性です。
この脆弱性は、ユーザーが入力したXMLの検証が不完全であることに起因します。攻撃者は、細工したXMLファイルをアプリケーションに送信することでこの脆弱性を悪用できます。アプリケーションはコードを解析し、攻撃者はシステムファイルの内容や外部リクエストの結果といった機密情報にアクセスできるようになります。
危険なのは、XML ドキュメントを解析したり、XML ドキュメントと対話したりするすべてのアプリケーション、ライブラリ、サーバーがこの欠陥に対して脆弱であるという事実です。
広く使用されているプログラミング言語である PHP には、深刻なセキュリティ上の脆弱性があります。
一方、脆弱性CVE-2023-3824は、CVSSスコア9.4のバッファオーバーフロー脆弱性であり、PHPベースのシステム上でリモートの攻撃者が任意のコードを実行する可能性があります。この脆弱性は、PHP関数が制限値を適切にチェックしないことに起因します。攻撃者は、アプリケーションに特別なリクエストを送信することでこの脆弱性を悪用し、バッファオーバーフローを引き起こし、システムを制御して任意のコードを実行できるようになります。
この危険性のため、ユーザーはシステムをできるだけ早くPHPバージョン8.0.30にアップデートすることをお勧めします。さらに、すべてのユーザー入力の認証やWebアプリケーションファイアウォール(WAF)の使用など、PHPアプリケーションを攻撃から保護するための対策も講じる必要があります。
[広告2]
ソースリンク
コメント (0)