Volgens Security Online zijn er twee nieuwe kwetsbaarheden in PHP ontdekt met de identificatiecodes CVE-2023-3823 en CVE-2023-3824. De CVE-2023-3823-kwetsbaarheid, met een CVSS-index van 8,6, is een beveiligingslek waardoor externe aanvallers gevoelige informatie uit PHP-applicaties kunnen verkrijgen.
Deze kwetsbaarheid komt voort uit onvolledige validatie van door de gebruiker aangeleverde XML-invoer. Een aanvaller kan hiervan misbruik maken door een speciaal geconstrueerd XML-bestand naar de applicatie te sturen. De applicatie analyseert vervolgens de code, waardoor de aanvaller toegang krijgt tot gevoelige informatie, zoals de inhoud van systeembestanden of de resultaten van externe verzoeken.
Het gevaar schuilt in het feit dat elke applicatie, bibliotheek of server die XML-documenten analyseert of ermee interacteert, kwetsbaar is voor deze fout.
PHP is een veelgebruikte programmeertaal, maar kent daardoor wel ernstige beveiligingslekken.
Ondertussen is kwetsbaarheid CVE-2023-3824 een bufferoverloopkwetsbaarheid met een CVSS-score van 9,4, waardoor een externe aanvaller willekeurige code kan uitvoeren op een PHP-gebaseerd systeem. Deze kwetsbaarheid wordt veroorzaakt door een PHP-functie die limieten onjuist controleert. Een aanvaller kan deze misbruiken door een speciaal verzoek naar de applicatie te sturen, waardoor een bufferoverloop ontstaat en hij de controle over het systeem verkrijgt om willekeurige code uit te voeren.
Vanwege dit gevaar wordt gebruikers aangeraden hun systemen zo snel mogelijk bij te werken naar PHP-versie 8.0.30. Daarnaast dienen ze ook maatregelen te nemen om PHP-applicaties te beschermen tegen aanvallen, zoals het authenticeren van alle gebruikersinvoer en het gebruik van een webapplicatiefirewall (WAF).
Bronlink
Reactie (0)