PHP-programmeertaal ontdekt nog eens twee beveiligingslekken

Volgens Security Online zijn er twee nieuwe kwetsbaarheden in PHP ontdekt, die de identifiers CVE-2023-3823 en CVE-2023-3824 hebben gekregen. De CVE-2023-3823-bug heeft een CVSS-score van 8,6 en is een kwetsbaarheid die informatie openbaar maakt, waardoor externe aanvallers gevoelige informatie uit de PHP-applicatie kunnen verkrijgen.

Deze kwetsbaarheid is te wijten aan onvoldoende validatie van door de gebruiker aangeleverde XML-invoer. Een aanvaller zou hiervan misbruik kunnen maken door een speciaal vervaardigd XML-bestand naar de applicatie te sturen. De code zou door de applicatie worden geparseerd en de aanvaller zou toegang kunnen krijgen tot gevoelige informatie, zoals de inhoud van bestanden op het systeem of de resultaten van externe verzoeken.

Het gevaar is dat elke toepassing, bibliotheek en server die XML-documenten parseert of ermee communiceert, kwetsbaar is voor deze kwetsbaarheid.

CVE-2023-3824 is een bufferoverflow-kwetsbaarheid met een CVSS-score van 9,4, waardoor externe aanvallers willekeurige code kunnen uitvoeren op systemen die draaien op PHP. De kwetsbaarheid wordt veroorzaakt door een functie in PHP die onjuiste bounds checks uitvoert. Een aanvaller kan dit misbruiken door een speciaal opgesteld verzoek naar de applicatie te sturen, waardoor een bufferoverflow ontstaat en de controle over het systeem wordt verkregen om willekeurige code uit te voeren.

Vanwege dit gevaar wordt gebruikers geadviseerd hun systemen zo snel mogelijk bij te werken naar PHP-versie 8.0.30. Daarnaast moeten maatregelen worden genomen om PHP-applicaties te beschermen tegen aanvallen, zoals het valideren van alle gebruikersinvoer en het gebruik van een webapplicatiefirewall (WAF).