Według Security Online odkryto dwie nowe luki w zabezpieczeniach PHP, którym przypisano identyfikatory CVE-2023-3823 i CVE-2023-3824. Błąd CVE-2023-3823 ma wynik CVSS 8,6 i jest luką umożliwiającą ujawnienie informacji, która umożliwia zdalnym atakującym uzyskanie poufnych informacji z aplikacji PHP.
Ta luka wynika z niewystarczającej walidacji danych XML dostarczanych przez użytkownika. Atakujący może ją wykorzystać, wysyłając specjalnie spreparowany plik XML do aplikacji. Kod zostanie przeanalizowany przez aplikację, a atakujący uzyska dostęp do poufnych informacji, takich jak zawartość plików w systemie lub wyniki żądań zewnętrznych.
Zagrożeniem jest to, że każda aplikacja, biblioteka i serwer, który analizuje lub wchodzi w interakcję z dokumentami XML, jest podatny na tę lukę w zabezpieczeniach.
Jako że PHP jest dziś popularnym językiem programowania, jego luki w zabezpieczeniach są poważne.
Tymczasem CVE-2023-3824 to luka w zabezpieczeniach związana z przepełnieniem bufora, z wynikiem CVSS 9,4, umożliwiająca zdalnym atakującym wykonanie dowolnego kodu w systemach z PHP. Luka wynika z funkcji PHP, która nie sprawdza prawidłowo swoich granic. Atakujący może ją wykorzystać, wysyłając specjalnie spreparowane żądanie do aplikacji, które powoduje przepełnienie bufora i umożliwia mu przejęcie kontroli nad systemem w celu wykonania dowolnego kodu.
Z powodu tego zagrożenia zaleca się użytkownikom jak najszybszą aktualizację systemów do wersji PHP 8.0.30. Ponadto należy podjąć kroki w celu ochrony aplikacji PHP przed atakami, takie jak weryfikacja wszystkich danych wprowadzanych przez użytkownika i korzystanie z zapory sieciowej (WAF).
Link źródłowy
![[Zdjęcie] „Cmentarzysko statków” w zatoce Xuan Dai](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/08/1762577162805_ndo_br_tb5-jpg.webp)
![[Wideo] Pomniki w Hue ponownie otwarte dla zwiedzających](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/11/05/1762301089171_dung01-05-43-09still013-jpg.webp)
Komentarz (0)