Programmeringsspråket PHP upptäckte ytterligare två säkerhetsbrister

Enligt Security Online upptäcktes två nya sårbarheter i PHP och tilldelades identifierarna CVE-2023-3823 och CVE-2023-3824. CVE-2023-3823-buggen har en CVSS-poäng på 8,6 och är en sårbarhet för informationsläckage, vilket gör det möjligt för angripare på distans att få tag på känslig information från PHP-applikationen.

Denna sårbarhet beror på otillräcklig validering av användarlevererade XML-indata. En angripare skulle kunna utnyttja den genom att skicka en specialskriven XML-fil till programmet. Koden skulle då tolkas av programmet och angriparen skulle kunna få åtkomst till känslig information, till exempel innehållet i filer på systemet eller resultaten av externa förfrågningar.

Faran är att alla applikationer, bibliotek och servrar som analyserar eller interagerar med XML-dokument är sårbara för denna sårbarhet.

Samtidigt är CVE-2023-3824 en buffertöverflödessårbarhet med en CVSS-poäng på 9,4, vilket gör det möjligt för fjärrangripare att exekvera godtycklig kod på system som kör PHP. Sårbarheten beror på en funktion i PHP som utför felaktig gränskontroll. En angripare kan utnyttja den genom att skicka en specialskriven begäran till applikationen, vilket orsakar ett buffertöverflöde och får kontroll över systemet för att exekvera godtycklig kod.

På grund av denna fara rekommenderas användare att uppdatera sina system till PHP version 8.0.30 så snart som möjligt. Dessutom bör åtgärder vidtas för att skydda PHP-applikationer från attacker, såsom att validera all användarinmatning och använda en webbapplikationsbrandvägg (WAF).