Security Onlineによると、PHPに新たな脆弱性が2件発見され、CVE-2023-3823およびCVE-2023-3824という識別子が付与されました。CVE-2023-3823の脆弱性はCVSSスコア8.6で、情報漏洩の脆弱性であり、リモートの攻撃者がPHPアプリケーションから機密情報を取得する可能性があります。
この脆弱性は、ユーザーが入力したXMLデータの検証が不十分であることに起因します。攻撃者は、細工したXMLファイルをアプリケーションに送信することで、この脆弱性を悪用する可能性があります。このコードはアプリケーションによって解析され、攻撃者はシステム上のファイルの内容や外部リクエストの結果といった機密情報にアクセスできるようになります。
危険なのは、XML ドキュメントを解析したり、XML ドキュメントと対話したりするすべてのアプリケーション、ライブラリ、サーバーがこの脆弱性の影響を受けることです。
今日人気のプログラミング言語である PHP のセキュリティ上の欠陥は深刻です。
一方、CVE-2023-3824はCVSSスコア9.4のバッファオーバーフロー脆弱性で、PHPを実行しているシステム上でリモートの攻撃者が任意のコードを実行できる可能性があります。この脆弱性は、PHPの不適切な境界チェックを行う関数に起因しています。攻撃者は、細工したリクエストをアプリケーションに送信することでこの脆弱性を悪用し、バッファオーバーフローを引き起こし、システムを制御して任意のコードを実行できるようになります。
この危険性のため、ユーザーはシステムをできるだけ早くPHPバージョン8.0.30にアップデートすることをお勧めします。さらに、すべてのユーザー入力の検証やWebアプリケーションファイアウォール(WAF)の使用など、PHPアプリケーションを攻撃から保護するための対策を講じる必要があります。
[広告2]
ソースリンク
コメント (0)