Мова програмування PHP виявила ще 2 вразливості безпеки

Згідно з даними Security Online , було виявлено дві нові вразливості в PHP, яким було присвоєно ідентифікатори CVE-2023-3823 та CVE-2023-3824. Помилка CVE-2023-3823 має оцінку CVSS 8,6 та є вразливістю розкриття інформації, яка дозволяє віддаленим зловмисникам отримувати конфіденційну інформацію з PHP-додатку.

Ця вразливість пов'язана з недостатньою перевіркою наданих користувачем XML-даних. Зловмисник може скористатися нею, надіславши спеціально створений XML-файл до програми. Код буде проаналізовано програмою, і зловмисник зможе отримати доступ до конфіденційної інформації, такої як вміст файлів у системі або результати зовнішніх запитів.

Небезпека полягає в тому, що будь-який додаток, бібліотека та сервер, які аналізують або взаємодіють з XML-документами, є вразливими до цієї вразливості.

Тим часом, CVE-2023-3824 — це вразливість переповнення буфера з оцінкою CVSS 9,4, яка дозволяє віддаленим зловмисникам виконувати довільний код на системах, що працюють на PHP. Вразливість пов'язана з функцією в PHP, яка не перевіряє свої межі належним чином. Зловмисник може використати її, надіславши спеціально створений запит до програми, що спричиняє переповнення буфера та допомагає йому отримати контроль над системою для виконання довільного коду.

Через цю небезпеку користувачам рекомендується якомога швидше оновити свої системи до версії PHP 8.0.30. Крім того, слід вжити заходів для захисту PHP-додатків від атак, таких як перевірка всіх введених користувачем даних та використання брандмауера веб-додатків (WAF).