Programovací jazyk PHP objevil další 2 bezpečnostní zranitelnosti

Podle serveru Security Online byly v PHP objeveny dvě nové zranitelnosti, kterým byly přiřazeny identifikátory CVE-2023-3823 a CVE-2023-3824. Chyba CVE-2023-3823 má skóre CVSS 8,6 a jedná se o zranitelnost umožňující únik informací, která umožňuje vzdáleným útočníkům získat citlivé informace z PHP aplikace.

Tato zranitelnost je způsobena nedostatečným ověřením uživatelem zadaného XML vstupu. Útočník by ji mohl zneužít odesláním speciálně vytvořeného XML souboru do aplikace. Kód by byl aplikací analyzován a útočník by mohl získat přístup k citlivým informacím, jako je obsah souborů v systému nebo výsledky externích požadavků.

Nebezpečí spočívá v tom, že jakákoli aplikace, knihovna a server, který analyzuje nebo interaguje s dokumenty XML, je vůči této zranitelnosti zranitelný.

CVE-2023-3824 je zranitelnost s přetečením vyrovnávací paměti a skóre CVSS 9,4, která umožňuje vzdáleným útočníkům spouštět libovolný kód na systémech s PHP. Tato zranitelnost je způsobena funkcí v PHP, která provádí nesprávnou kontrolu hranic. Útočník ji může zneužít odesláním speciálně vytvořeného požadavku do aplikace, čímž způsobí přetečení vyrovnávací paměti a získá kontrolu nad systémem za účelem spuštění libovolného kódu.

Vzhledem k tomuto nebezpečí se uživatelům doporučuje, aby co nejdříve aktualizovali své systémy na verzi PHP 8.0.30. Dále by měly být podniknuty kroky k ochraně PHP aplikací před útoky, jako je ověřování všech uživatelských vstupů a používání webového aplikačního firewallu (WAF).