Limbajul de programare PHP a descoperit încă două vulnerabilități de securitate

Conform Security Online , au fost descoperite două noi vulnerabilități în PHP, cărora li s-au atribuit identificatorii CVE-2023-3823 și CVE-2023-3824. Eroarea CVE-2023-3823 are un scor CVSS de 8,6 și este o vulnerabilitate de divulgare a informațiilor care permite atacatorilor la distanță să obțină informații sensibile din aplicația PHP.

Această vulnerabilitate se datorează validării insuficiente a datelor XML furnizate de utilizator. Un atacator ar putea exploata această vulnerabilitate trimițând un fișier XML special conceput către aplicație. Codul ar fi analizat de aplicație, iar atacatorul ar putea accesa informații sensibile, cum ar fi conținutul fișierelor din sistem sau rezultatele solicitărilor externe.

Pericolul este că orice aplicație, bibliotecă și server care analizează sau interacționează cu documente XML este vulnerabilă la această vulnerabilitate.

Între timp, CVE-2023-3824 este o vulnerabilitate de tip buffer overflow cu un scor CVSS de 9,4, care permite atacatorilor la distanță să execute cod arbitrar pe sistemele care rulează PHP. Vulnerabilitatea se datorează unei funcții din PHP care nu își verifică corect limitele. Un atacator o poate exploata prin trimiterea unei cereri special concepute către aplicație, ceea ce provoacă un buffer overflow și îl ajută să obțină controlul asupra sistemului pentru a executa cod arbitrar.

Din cauza acestui pericol, utilizatorii sunt sfătuiți să își actualizeze sistemele la versiunea PHP 8.0.30 cât mai curând posibil. În plus, ar trebui luate măsuri pentru a proteja aplicațiile PHP de atacuri, cum ar fi validarea tuturor intrărilor de la utilizatori și utilizarea unui firewall pentru aplicații web (WAF).