Мова програмування PHP виявила ще 2 вразливості безпеки

Згідно з даними Security Online , було виявлено дві нові вразливості в PHP, яким було присвоєно ідентифікатори CVE-2023-3823 та CVE-2023-3824. Помилка CVE-2023-3823 має оцінку CVSS 8,6 та є вразливістю розкриття інформації, що дозволяє віддаленим зловмисникам отримувати конфіденційну інформацію з PHP-додатку.

Ця вразливість пов'язана з недостатньою перевіркою наданих користувачем XML-даних. Зловмисник може скористатися нею, надіславши спеціально створений XML-файл до програми. Код буде проаналізовано програмою, і зловмисник може отримати доступ до конфіденційної інформації, такої як вміст файлів у системі або результати зовнішніх запитів.

Небезпека полягає в тому, що будь-який додаток, бібліотека та сервер, які аналізують або взаємодіють з XML-документами, є вразливими до цієї вразливості.

Тим часом, CVE-2023-3824 — це вразливість переповнення буфера з оцінкою CVSS 9,4, яка дозволяє віддаленим зловмисникам виконувати довільний код на системах під керуванням PHP. Вразливість пов'язана з функцією в PHP, яка виконує неправильну перевірку меж. Зловмисник може використати її, надіславши спеціально сформований запит до програми, тим самим спричинивши переповнення буфера та отримавши контроль над системою для виконання довільного коду.

Через цю небезпеку користувачам рекомендується якомога швидше оновити свої системи до версії PHP 8.0.30. Крім того, слід вжити заходів для захисту PHP-додатків від атак, таких як перевірка всіх введених користувачем даних та використання брандмауера веб-додатків (WAF).