Security Onlineによると、PHP に 2 つの新しい脆弱性が発見され、CVE-2023-3823 と CVE-2023-3824 という識別子が割り当てられました。 CVSS スコア 8.6 の CVE-2023-3823 は、リモートの攻撃者が PHP アプリケーションから機密情報を取得できる情報漏洩の脆弱性です。

この脆弱性は、ユーザーが提供する XML 入力の検証が不十分なために発生します。攻撃者は、特別に細工した XML ファイルをアプリケーションに送信することでこれを悪用する可能性があります。コードはアプリケーションによって分析され、攻撃者はシステム上のファイルの内容や外部リクエストの結果などの機密情報にアクセスできる可能性があります。

危険なのは、XML ドキュメントを解析したり、XML ドキュメントと対話したりするすべてのアプリケーション、ライブラリ、サーバーがこの脆弱性の影響を受けることです。

一方、CVE-2023-3824 は CVSS スコア 9.4 のバッファ オーバーフロー脆弱性であり、リモートの攻撃者が PHP を使用するシステムで任意のコードを実行できる可能性があります。この脆弱性は、不適切な境界チェックを行う PHP の関数に起因します。攻撃者は、特別に細工したリクエストをアプリケーションに送信することでこれを悪用し、バッファ オーバーフローを引き起こし、システムを制御して任意のコードを実行することができます。

この危険性があるため、ユーザーはできるだけ早くシステムを PHP バージョン 8.0.30 に更新することをお勧めします。さらに、すべてのユーザー入力を検証したり、Web アプリケーション ファイアウォール (WAF) を使用したりといった、PHP アプリケーションを攻撃から保護するための手順も実行する必要があります。