В языке программирования PHP обнаружены еще две уязвимости безопасности

По данным Security Online , в PHP были обнаружены две новые уязвимости, которым были присвоены идентификаторы CVE-2023-3823 и CVE-2023-3824. Ошибка CVE-2023-3823 имеет оценку CVSS 8,6 и представляет собой уязвимость раскрытия информации, которая позволяет удалённым злоумышленникам получать конфиденциальную информацию из PHP-приложения.

Эта уязвимость вызвана недостаточной проверкой XML-данных, предоставляемых пользователем. Злоумышленник может воспользоваться ею, отправив приложению специально созданный XML-файл. Приложение проанализирует код, и злоумышленник сможет получить доступ к конфиденциальной информации, например, к содержимому файлов в системе или результатам внешних запросов.

Опасность заключается в том, что любое приложение, библиотека и сервер, которые анализируют или взаимодействуют с XML-документами, подвержены этой уязвимости.

Между тем, CVE-2023-3824 — это уязвимость переполнения буфера с рейтингом CVSS 9,4, позволяющая удалённым злоумышленникам выполнять произвольный код в системах, работающих под управлением PHP. Уязвимость связана с функцией PHP, которая некорректно проверяет границы буфера. Злоумышленник может воспользоваться ею, отправив приложению специально созданный запрос, который вызывает переполнение буфера и позволяет получить контроль над системой для выполнения произвольного кода.

В связи с этой опасностью пользователям рекомендуется как можно скорее обновить свои системы до версии PHP 8.0.30. Кроме того, следует принять меры для защиты PHP-приложений от атак, например, проверять все пользовательские данные и использовать брандмауэр веб-приложений (WAF).