PHP programlama dili 2 güvenlik açığı daha keşfetti

Security Online'a göre, PHP'de iki yeni güvenlik açığı keşfedildi ve bu güvenlik açıklarına CVE-2023-3823 ve CVE-2023-3824 tanımlayıcıları atandı. CVE-2023-3823 hatasının CVSS puanı 8,6 olup, uzak saldırganların PHP uygulamasından hassas bilgiler elde etmesine olanak tanıyan bir bilgi ifşa güvenlik açığıdır.

Bu güvenlik açığı, kullanıcı tarafından sağlanan XML girdisinin yetersiz doğrulanmasından kaynaklanmaktadır. Bir saldırgan, uygulamaya özel olarak hazırlanmış bir XML dosyası göndererek bu açığı istismar edebilir. Kod, uygulama tarafından ayrıştırılır ve saldırgan, sistemdeki dosyaların içerikleri veya harici isteklerin sonuçları gibi hassas bilgilere erişebilir.

Tehlike, XML belgelerini ayrıştıran veya bunlarla etkileşimde bulunan herhangi bir uygulama, kütüphane ve sunucunun bu güvenlik açığına karşı savunmasız olmasıdır.

Bu arada, CVE-2023-3824, 9,4 CVSS puanına sahip bir arabellek taşması güvenlik açığıdır ve uzak saldırganların PHP çalıştıran sistemlerde keyfi kod çalıştırmasına olanak tanır. Bu güvenlik açığı, PHP'deki bir işlevin sınırlarını düzgün bir şekilde kontrol etmemesinden kaynaklanır. Saldırgan, uygulamaya özel olarak hazırlanmış bir istek göndererek bu açığı kullanabilir. Bu istek, arabellek taşmasına neden olur ve sistemin kontrolünü ele geçirerek keyfi kod çalıştırmasına yardımcı olur.

Bu tehlike nedeniyle, kullanıcıların sistemlerini en kısa sürede PHP 8.0.30 sürümüne güncellemeleri önerilir. Ayrıca, tüm kullanıcı girdilerinin doğrulanması ve web uygulama güvenlik duvarı (WAF) kullanılması gibi PHP uygulamalarını saldırılardan korumak için önlemler alınmalıdır.