A linguagem de programação PHP teve mais duas vulnerabilidades de segurança descobertas.

De acordo com o Security Online , duas novas vulnerabilidades no PHP foram descobertas e receberam os identificadores CVE-2023-3823 e CVE-2023-3824. A vulnerabilidade CVE-2023-3823 possui uma pontuação CVSS de 8,6 e é uma vulnerabilidade de divulgação de informações que permite que atacantes remotos obtenham informações confidenciais do aplicativo PHP.

Essa vulnerabilidade ocorre devido à validação insuficiente da entrada XML fornecida pelo usuário. Um atacante poderia explorá-la enviando um arquivo XML especialmente criado para o aplicativo. O código seria analisado pelo aplicativo e o atacante poderia acessar informações confidenciais, como o conteúdo de arquivos no sistema ou os resultados de solicitações externas.

O perigo reside no fato de que qualquer aplicação, biblioteca e servidor que analise ou interaja com documentos XML está vulnerável a essa vulnerabilidade.

Entretanto, a vulnerabilidade CVE-2023-3824 é uma vulnerabilidade de estouro de buffer com uma pontuação CVSS de 9,4, que permite que atacantes remotos executem código arbitrário em sistemas que executam PHP. A vulnerabilidade se deve a uma função no PHP que não verifica seus limites corretamente. Um atacante pode explorá-la enviando uma solicitação especialmente criada para o aplicativo, o que causa um estouro de buffer e permite que ele obtenha controle do sistema para executar código arbitrário.

Devido a esse perigo, recomenda-se que os usuários atualizem seus sistemas para a versão 8.0.30 do PHP o mais rápido possível. Além disso, devem ser tomadas medidas para proteger os aplicativos PHP contra ataques, como validar todas as entradas do usuário e usar um firewall de aplicativos da web (WAF).