По данным Security Online , были обнаружены две новые уязвимости в PHP, которым были присвоены идентификаторы CVE-2023-3823 и CVE-2023-3824. Ошибка CVE-2023-3823 имеет оценку CVSS 8,6 и является уязвимостью раскрытия информации, позволяющей удаленным злоумышленникам получать конфиденциальную информацию из приложения PHP.
Эта уязвимость вызвана недостаточной проверкой XML-ввода, предоставленного пользователем. Злоумышленник может воспользоваться ею, отправив специально созданный XML-файл в приложение. Код будет проанализирован приложением, и злоумышленник может получить доступ к конфиденциальной информации, такой как содержимое файлов в системе или результаты внешних запросов.
Опасность заключается в том, что любое приложение, библиотека и сервер, которые анализируют или взаимодействуют с XML-документами, подвержены этой уязвимости.
PHP — популярный сегодня язык программирования, однако у него есть серьезные недостатки в системе безопасности.
Между тем, CVE-2023-3824 — это уязвимость переполнения буфера с оценкой CVSS 9,4, позволяющая удаленным злоумышленникам выполнять произвольный код в системах, работающих под управлением PHP. Уязвимость вызвана функцией в PHP, которая выполняет неправильную проверку границ. Злоумышленник может воспользоваться ею, отправив специально созданный запрос в приложение, тем самым вызвав переполнение буфера и получив контроль над системой для выполнения произвольного кода.
Из-за этой опасности пользователям рекомендуется обновить свои системы до версии PHP 8.0.30 как можно скорее. Кроме того, следует предпринять шаги для защиты приложений PHP от атак, например, проверять все пользовательские данные и использовать брандмауэр веб-приложений (WAF).
Ссылка на источник
Комментарий (0)