Język programowania PHP odkrył 2 kolejne luki w zabezpieczeniach

Według Security Online odkryto dwie nowe luki w zabezpieczeniach PHP, którym przypisano identyfikatory CVE-2023-3823 i CVE-2023-3824. Błąd CVE-2023-3823 ma wynik CVSS 8,6 i jest luką umożliwiającą ujawnienie informacji, która umożliwia zdalnym atakującym uzyskanie poufnych informacji z aplikacji PHP.

Ta luka wynika z niewystarczającej walidacji danych XML dostarczanych przez użytkownika. Atakujący może ją wykorzystać, wysyłając specjalnie spreparowany plik XML do aplikacji. Kod zostanie przeanalizowany przez aplikację, a atakujący uzyska dostęp do poufnych informacji, takich jak zawartość plików w systemie lub wyniki żądań zewnętrznych.

Zagrożeniem jest to, że każda aplikacja, biblioteka i serwer, który analizuje lub wchodzi w interakcję z dokumentami XML, jest podatny na tę lukę w zabezpieczeniach.

Tymczasem CVE-2023-3824 to luka w zabezpieczeniach związana z przepełnieniem bufora, z wynikiem CVSS 9,4, umożliwiająca zdalnym atakującym wykonanie dowolnego kodu w systemach z PHP. Luka ta wynika z funkcji PHP, która nieprawidłowo sprawdza granice. Atakujący może ją wykorzystać, wysyłając specjalnie spreparowane żądanie do aplikacji, powodując w ten sposób przepełnienie bufora i uzyskując kontrolę nad systemem w celu wykonania dowolnego kodu.

Z powodu tego zagrożenia zaleca się użytkownikom jak najszybszą aktualizację systemów do wersji PHP 8.0.30. Ponadto należy podjąć kroki w celu ochrony aplikacji PHP przed atakami, takie jak weryfikacja wszystkich danych wprowadzanych przez użytkownika i korzystanie z zapory sieciowej (WAF).