Le langage de programmation PHP a découvert 2 autres vulnérabilités de sécurité

Selon Security Online , deux nouvelles vulnérabilités PHP ont été découvertes et identifiées CVE-2023-3823 et CVE-2023-3824. La vulnérabilité CVE-2023-3823, avec un score CVSS de 8,6, constitue une vulnérabilité de divulgation d'informations permettant à des attaquants distants d'obtenir des informations sensibles de l'application PHP.

Cette vulnérabilité est due à une validation insuffisante des données XML fournies par l'utilisateur. Un attaquant pourrait l'exploiter en envoyant un fichier XML spécialement conçu à l'application. Le code serait alors analysé par l'application et l'attaquant pourrait accéder à des informations sensibles, telles que le contenu des fichiers système ou les résultats de requêtes externes.

Le danger est que toute application, bibliothèque et serveur qui analyse ou interagit avec des documents XML est vulnérable à cette vulnérabilité.

Parallèlement, la vulnérabilité CVE-2023-3824 est une vulnérabilité de dépassement de tampon avec un score CVSS de 9,4, permettant à des attaquants distants d'exécuter du code arbitraire sur des systèmes exécutant PHP. Cette vulnérabilité est due à une fonction PHP qui effectue une vérification de limites incorrecte. Un attaquant peut l'exploiter en envoyant une requête spécialement conçue à l'application, provoquant ainsi un dépassement de tampon et prenant le contrôle du système pour exécuter du code arbitraire.

En raison de ce danger, il est conseillé aux utilisateurs de mettre à jour leurs systèmes vers la version 8.0.30 de PHP dès que possible. De plus, des mesures doivent être prises pour protéger les applications PHP contre les attaques, comme la validation de toutes les saisies utilisateur et l'utilisation d'un pare-feu d'application web (WAF).