Limbajul de programare PHP a descoperit încă două vulnerabilități de securitate

Conform Security Online , au fost descoperite două noi vulnerabilități în PHP, cărora li s-au atribuit identificatorii CVE-2023-3823 și CVE-2023-3824. Eroarea CVE-2023-3823 are un scor CVSS de 8,6 și este o vulnerabilitate de divulgare a informațiilor, permițând atacatorilor la distanță să obțină informații sensibile din aplicația PHP.

Această vulnerabilitate se datorează validării insuficiente a datelor XML furnizate de utilizator. Un atacator ar putea exploata această vulnerabilitate trimițând un fișier XML special conceput către aplicație. Codul ar fi analizat de aplicație, iar atacatorul ar putea obține acces la informații sensibile, cum ar fi conținutul fișierelor din sistem sau rezultatele solicitărilor externe.

Pericolul este că orice aplicație, bibliotecă și server care analizează sau interacționează cu documente XML este vulnerabilă la această vulnerabilitate.

Între timp, CVE-2023-3824 este o vulnerabilitate de tip buffer overflow cu un scor CVSS de 9,4, care permite atacatorilor la distanță să execute cod arbitrar pe sistemele care rulează PHP. Vulnerabilitatea se datorează unei funcții din PHP care efectuează verificări necorespunzătoare ale limitelor. Un atacator o poate exploata trimițând o cerere special concepută către aplicație, provocând astfel un buffer overflow și obținând controlul asupra sistemului pentru a executa cod arbitrar.

Din cauza acestui pericol, utilizatorii sunt sfătuiți să își actualizeze sistemele la versiunea PHP 8.0.30 cât mai curând posibil. În plus, ar trebui luate măsuri pentru a proteja aplicațiile PHP de atacuri, cum ar fi validarea tuturor datelor introduse de utilizatori și utilizarea unui firewall pentru aplicații web (WAF).