PHP programlama dili 2 güvenlik açığı daha keşfetti

Security Online'a göre, PHP'de iki yeni güvenlik açığı keşfedildi ve bu güvenlik açıklarına CVE-2023-3823 ve CVE-2023-3824 tanımlayıcıları atandı. 8,6 CVSS puanına sahip olan CVE-2023-3823 hatası, uzak saldırganların PHP uygulamasından hassas bilgiler elde etmesine olanak tanıyan bir bilgi ifşa güvenlik açığıdır.

Bu güvenlik açığı, kullanıcı tarafından sağlanan XML girdisinin yetersiz doğrulanmasından kaynaklanmaktadır. Bir saldırgan, uygulamaya özel olarak hazırlanmış bir XML dosyası göndererek bu açığı istismar edebilir. Kod, uygulama tarafından ayrıştırılır ve saldırgan, sistemdeki dosyaların içerikleri veya harici isteklerin sonuçları gibi hassas bilgilere erişebilir.

Tehlike, XML belgelerini ayrıştıran veya bunlarla etkileşimde bulunan herhangi bir uygulama, kütüphane ve sunucunun bu güvenlik açığına karşı savunmasız olmasıdır.

Bu arada, CVE-2023-3824, 9,4 CVSS puanına sahip bir arabellek taşması güvenlik açığıdır ve uzak saldırganların PHP çalıştıran sistemlerde keyfi kod çalıştırmasına olanak tanır. Bu güvenlik açığı, PHP'de hatalı sınır denetimi yapan bir işlevden kaynaklanmaktadır. Saldırgan, uygulamaya özel olarak hazırlanmış bir istek göndererek arabellek taşmasına neden olabilir ve keyfi kod çalıştırmak için sistemin kontrolünü ele geçirebilir.

Bu tehlike nedeniyle, kullanıcıların sistemlerini en kısa sürede PHP 8.0.30 sürümüne güncellemeleri önerilir. Ayrıca, tüm kullanıcı girdilerinin doğrulanması ve web uygulama güvenlik duvarı (WAF) kullanılması gibi PHP uygulamalarını saldırılardan korumak için önlemler alınmalıdır.