PHPプログラミング言語に新たに2つのセキュリティ脆弱性が発見される

Security Onlineによると、PHPに新たな脆弱性が2件発見され、CVE-2023-3823およびCVE-2023-3824という識別子が付与されました。CVE-2023-3823の脆弱性はCVSSスコア8.6で、リモート攻撃者がPHPアプリケーションから機密情報を取得できる情報漏洩の脆弱性です。

この脆弱性は、ユーザーが入力したXMLデータの検証が不十分であることに起因します。攻撃者は、細工したXMLファイルをアプリケーションに送信することで、この脆弱性を悪用する可能性があります。このコードはアプリケーションによって解析され、攻撃者はシステム上のファイルの内容や外部リクエストの結果といった機密情報にアクセスできるようになります。

危険なのは、XML ドキュメントを解析したり、XML ドキュメントと対話したりするすべてのアプリケーション、ライブラリ、サーバーがこの脆弱性の影響を受けることです。

一方、CVE-2023-3824は、CVSSスコア9.4のバッファオーバーフロー脆弱性で、PHPを実行しているシステム上でリモートの攻撃者が任意のコードを実行できる可能性があります。この脆弱性は、PHPの関数が境界チェックを適切に行わないことに起因しています。攻撃者は、細工したリクエストをアプリケーションに送信することでこの脆弱性を悪用し、バッファオーバーフローを引き起こし、システムを制御して任意のコードを実行できるようになります。

この危険性のため、ユーザーはシステムをできるだけ早くPHPバージョン8.0.30にアップデートすることをお勧めします。さらに、すべてのユーザー入力の検証やWebアプリケーションファイアウォール（WAF）の使用など、PHPアプリケーションを攻撃から保護するための対策を講じる必要があります。