El lenguaje de programación PHP descubrió dos vulnerabilidades de seguridad más

Según Security Online , se descubrieron dos nuevas vulnerabilidades en PHP, a las que se les asignaron los identificadores CVE-2023-3823 y CVE-2023-3824. La vulnerabilidad CVE-2023-3823 tiene una puntuación CVSS de 8,6 y es una vulnerabilidad de divulgación de información que permite a atacantes remotos obtener información confidencial de la aplicación PHP.

Esta vulnerabilidad se debe a una validación insuficiente de la entrada XML proporcionada por el usuario. Un atacante podría explotarla enviando un archivo XML especialmente diseñado a la aplicación. La aplicación analizaría el código y el atacante podría acceder a información confidencial, como el contenido de los archivos del sistema o los resultados de solicitudes externas.

El peligro es que cualquier aplicación, biblioteca y servidor que analice o interactúe con documentos XML sea vulnerable a esta vulnerabilidad.

Mientras tanto, CVE-2023-3824 es una vulnerabilidad de desbordamiento de búfer con una puntuación CVSS de 9,4, que permite a atacantes remotos ejecutar código arbitrario en sistemas que ejecutan PHP. La vulnerabilidad se debe a una función de PHP que realiza una comprobación incorrecta de límites. Un atacante puede explotarla enviando una solicitud especialmente diseñada a la aplicación, lo que provoca un desbordamiento de búfer y toma el control del sistema para ejecutar código arbitrario.

Debido a este peligro, se recomienda a los usuarios actualizar sus sistemas a la versión 8.0.30 de PHP lo antes posible. Además, se deben tomar medidas para proteger las aplicaciones PHP de ataques, como validar todas las entradas del usuario y usar un firewall de aplicaciones web (WAF).