Linguagem de programação PHP descobriu mais 2 vulnerabilidades de segurança

De acordo com o Security Online , duas novas vulnerabilidades no PHP foram descobertas e receberam os identificadores CVE-2023-3823 e CVE-2023-3824. O bug CVE-2023-3823 tem uma pontuação CVSS de 8,6 e é uma vulnerabilidade de divulgação de informações, permitindo que invasores remotos obtenham informações confidenciais do aplicativo PHP.

Esta vulnerabilidade se deve à validação insuficiente da entrada XML fornecida pelo usuário. Um invasor poderia explorá-la enviando um arquivo XML especialmente criado para o aplicativo. O código seria analisado pelo aplicativo e o invasor poderia obter acesso a informações confidenciais, como o conteúdo de arquivos no sistema ou os resultados de solicitações externas.

O perigo é que qualquer aplicativo, biblioteca e servidor que analise ou interaja com documentos XML esteja vulnerável a essa vulnerabilidade.

Já a CVE-2023-3824 é uma vulnerabilidade de estouro de buffer com pontuação CVSS de 9,4, que permite que invasores remotos executem código arbitrário em sistemas que executam PHP. A vulnerabilidade se deve a uma função no PHP que realiza uma verificação de limites incorreta. Um invasor pode explorá-la enviando uma solicitação especialmente criada para o aplicativo, causando um estouro de buffer e assumindo o controle do sistema para executar código arbitrário.

Devido a esse perigo, recomenda-se que os usuários atualizem seus sistemas para a versão 8.0.30 do PHP o mais rápido possível. Além disso, medidas devem ser tomadas para proteger os aplicativos PHP contra ataques, como validar todas as entradas do usuário e usar um firewall de aplicativo web (WAF).