Nowa aktualizacja w PHP. (P24-188)

cert.pse-online.pl 6 miesięcy temu
ProduktPHP: 8.2.0 – 8.3.7
Numer CVECVE-2024-5585
Krytyczność7,1/10
CVSSAV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
OpisLuka wynika z niewystarczającej poprawki #VU88482 (CVE-2024-1874). Osoba atakująca zdalnie może przekazać specjalnie spreparowane dane wejściowe do aplikacji i wykonać dowolne polecenia systemu operacyjnego w systemie docelowym.
Numer CVECVE-2024-2408
Krytyczność4,6/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N/E:U/RL:O/RC:C
OpisLuka wynika z funkcji openssl_private_decrypt w PHP podczas korzystania z dopełnienia PKCS1 (OPENSSL_PKCS1_PADDING, które jest ustawieniem domyślnym) i jest podatna na atak Marvina. Osoba atakująca zdalnie może uzyskać dostęp do poufnych informacji.
Numer CVECVE-2024-5458
Krytyczność5,7/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C
OpisLuka wynika z niedostatecznej weryfikacji danych wprowadzonych przez użytkownika podczas analizowania adresu URL. Osoba atakująca zdalnie może ominąć kontrole filter_var FILTER_VALIDATE_URL.
Numer CVECVE-2024-4577
Krytyczność7,7/10
CVSSAV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
OpisLuka wynika z nieprawidłowej weryfikacji danych wejściowych w implementacji PHP-CGI. Osoba atakująca zdalnie może wysłać do aplikacji specjalnie spreparowane żądanie HTTP i wykonać w systemie dowolne polecenia systemu operacyjnego.
AktualizacjaTAK
Linkhttps://github.com/php/php-src/security/advisories/
Idź do oryginalnego materiału