Laut Security Online wurden zwei neue Schwachstellen in PHP entdeckt und mit den Kennungen CVE-2023-3823 und CVE-2023-3824 versehen. CVE-2023-3823 mit einem CVSS-Score von 8,6 ist eine Sicherheitslücke bei der Offenlegung von Informationen, die es Remote-Angreifern ermöglicht, vertrauliche Informationen aus einer PHP-Anwendung abzurufen.

Diese Sicherheitslücke ist auf eine unzureichende Validierung der vom Benutzer bereitgestellten XML-Eingabe zurückzuführen. Ein Angreifer könnte dies ausnutzen, indem er eine speziell gestaltete XML-Datei an die Anwendung sendet. Der Code wird von der Anwendung analysiert und der Angreifer kann Zugriff auf vertrauliche Informationen erhalten, beispielsweise auf den Inhalt von Dateien auf dem System oder die Ergebnisse externer Anfragen.

Die Gefahr besteht darin, dass jede Anwendung, Bibliothek und jeder Server, der XML-Dokumente analysiert oder mit ihnen interagiert, für diese Sicherheitslücke anfällig ist.

CVE-2023-3824 ist eine Pufferüberlauf-Sicherheitslücke mit einem CVSS-Score von 9,4, die es Remote-Angreifern ermöglicht, beliebigen Code auf Systemen auszuführen, die PHP verwenden. Diese Sicherheitslücke ist auf eine Funktion in PHP zurückzuführen, die eine nicht ordnungsgemäße Grenzwertprüfung durchführt. Ein Angreifer kann dies ausnutzen, indem er eine speziell gestaltete Anfrage an die Anwendung sendet, die einen Pufferüberlauf verursachen und dabei helfen kann, die Kontrolle über das System zu erlangen, um beliebigen Code auszuführen.

Aufgrund dieser Gefahr wird Benutzern empfohlen, ihre Systeme so schnell wie möglich auf die PHP-Version 8.0.30 zu aktualisieren. Darüber hinaus sollten Maßnahmen zum Schutz von PHP-Anwendungen vor Angriffen ergriffen werden, beispielsweise die Validierung aller Benutzereingaben und die Verwendung einer Web Application Firewall (WAF).