Security Online 에 따르면 PHP에서 두 가지 새로운 취약점이 발견되었으며 CVE-2023-3823과 CVE-2023-3824라는 식별자가 지정되었습니다. CVSS 점수가 8.6인 CVE-2023-3823은 원격 공격자가 PHP 애플리케이션에서 민감한 정보를 얻을 수 있도록 허용하는 정보 공개 취약점입니다.

이 취약점은 사용자가 제공한 XML 입력에 대한 검증이 충분하지 않아 발생합니다. 공격자는 특수하게 조작된 XML 파일을 애플리케이션으로 전송하여 이를 악용할 수 있습니다. 애플리케이션은 코드를 분석하고 공격자는 시스템 내 파일의 내용이나 외부 요청의 결과와 같은 민감한 정보에 접근할 수 있습니다.

위험한 점은 XML 문서를 구문 분석하거나 XML 문서와 상호 작용하는 모든 애플리케이션, 라이브러리 및 서버가 이 취약점에 취약하다는 것입니다.

CVE-2023-3824는 CVSS 점수가 9.4인 버퍼 오버플로 취약점으로, 원격 공격자가 PHP를 사용하는 시스템에서 임의의 코드를 실행할 수 있습니다. 이 취약점은 부적절한 경계 검사를 수행하는 PHP 함수로 인해 발생합니다. 공격자는 특수하게 조작된 요청을 애플리케이션으로 보내 버퍼 오버플로를 발생시키고 시스템을 제어하여 임의의 코드를 실행할 수 있습니다.

이러한 위험으로 인해 사용자는 가능한 한 빨리 시스템을 PHP 버전 8.0.30으로 업데이트하는 것이 좋습니다. 또한 모든 사용자 입력을 검증하고 웹 애플리케이션 방화벽(WAF)을 사용하는 등 PHP 애플리케이션을 공격으로부터 보호하기 위한 조치를 취해야 합니다.