Згідно з даними Security Online , було виявлено дві нові вразливості в PHP, яким було присвоєно ідентифікатори CVE-2023-3823 та CVE-2023-3824. Вразливість CVE-2023-3823 з індексом CVSS 8,6 є вразливістю розкриття інформації, яка дозволяє віддаленим зловмисникам отримувати конфіденційну інформацію з PHP-додатків.
Ця вразливість виникає через неповну перевірку наданих користувачем XML-даних. Зловмисник може скористатися нею, надіславши спеціально створений XML-файл до програми. Потім програма проаналізує код, що дозволить зловмиснику отримати доступ до конфіденційної інформації, такої як вміст системних файлів або результати зовнішніх запитів.
Небезпека полягає в тому, що будь-який додаток, бібліотека або сервер, який аналізує або взаємодіє з XML-документами, вразливий до цієї вади.
Як широко використовувана мова програмування, PHP має серйозні вразливості безпеки.
Тим часом, вразливість CVE-2023-3824 — це вразливість переповнення буфера з оцінкою CVSS 9,4, яка дозволяє віддаленому зловмиснику виконувати довільний код на системі на базі PHP. Ця вразливість спричинена неправильною перевіркою обмежень функцією PHP. Зловмисник може скористатися нею, надіславши спеціальний запит до програми, що призведе до переповнення буфера та отримання контролю над системою для виконання довільного коду.
Через цю небезпеку користувачам рекомендується якомога швидше оновити свої системи до версії PHP 8.0.30. Крім того, їм також слід вжити заходів для захисту PHP-додатків від атак, таких як автентифікація всіх введених користувачем даних та використання брандмауера веб-додатків (WAF).
Посилання на джерело
Коментар (0)