In der Programmiersprache PHP wurden zwei weitere Sicherheitslücken entdeckt

Laut Security Online wurden zwei neue Sicherheitslücken in PHP entdeckt und mit den Kennungen CVE-2023-3823 und CVE-2023-3824 versehen. Der Fehler CVE-2023-3823 hat einen CVSS-Score von 8,6 und stellt eine Sicherheitslücke zur Offenlegung von Informationen dar, die es Remote-Angreifern ermöglicht, vertrauliche Informationen aus der PHP-Anwendung abzurufen.

Diese Sicherheitsanfälligkeit beruht auf einer unzureichenden Validierung der vom Benutzer bereitgestellten XML-Eingaben. Ein Angreifer könnte die Sicherheitsanfälligkeit ausnutzen, indem er eine speziell gestaltete XML-Datei an die Anwendung sendet. Der Code würde von der Anwendung analysiert, und der Angreifer könnte auf vertrauliche Informationen zugreifen, beispielsweise auf den Inhalt von Dateien im System oder die Ergebnisse externer Anfragen.

Die Gefahr besteht darin, dass jede Anwendung, Bibliothek und jeder Server, der XML-Dokumente analysiert oder mit ihnen interagiert, für diese Sicherheitslücke anfällig ist.

CVE-2023-3824 hingegen ist eine Pufferüberlauf-Schwachstelle mit einem CVSS-Score von 9,4. Sie ermöglicht es Angreifern, beliebigen Code auf PHP-Systemen auszuführen. Die Schwachstelle beruht auf einer Funktion in PHP, die ihre Grenzen nicht ordnungsgemäß prüft. Ein Angreifer kann die Schwachstelle ausnutzen, indem er eine speziell gestaltete Anfrage an die Anwendung sendet. Diese verursacht einen Pufferüberlauf und ermöglicht es dem Angreifer, die Kontrolle über das System zu erlangen und beliebigen Code auszuführen.

Aufgrund dieser Gefahr wird Nutzern empfohlen, ihre Systeme schnellstmöglich auf PHP Version 8.0.30 zu aktualisieren. Darüber hinaus sollten Maßnahmen zum Schutz von PHP-Anwendungen vor Angriffen ergriffen werden, beispielsweise durch die Validierung aller Benutzereingaben und den Einsatz einer Web Application Firewall (WAF).