[TLP:CLEAR] PHP opravuje 3 kritické zraniteľnosti
PHP verziami 8.3.8, 8.2.20 a 8.1.29 opravuje 3 kritické zraniteľnosti [1], ktoré z operačných systémov zatiaľ opravil iba Slackware [4].
Neautentizovanému vzdialenému útočníkovi je v PHP CGI umožnené vykonávať ľubovolné príkazy v operačnom systéme (Windows) postihnutého zariadenia pomocou špeciálne vytvorených URL [1]. Zraniteľnosť stroja je možné overiť pomocou skriptu, ktorý je možné nájsť na [2]. Zranitelnost je aktivně zneužívána [3].
Zraniteľnosť sa nachádza v produkte php vo verziách (>=8.1 AND <8.1.29) OR (>=8.2 AND <8.2.20) OR (>=8.3 AND <8.3.8)
Viac informácií:
- CVE-2024-4577 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 6. 6. 2024. Naposledy bol tento report aktualizovaný 15. 7. 2024.
Neautentizovanému vzdialenému útočníkovi je umožnené vykonávať ľubovolné príkazy vo Windows shell postihnutého zariadenia [1].
Zraniteľnosť sa nachádza v produkte php vo verziách (>=8.1 AND <8.1.29) OR (>=8.2 AND <8.2.20) OR (>=8.3 AND <8.3.8)
Viac informácií:
- CVE-2024-5585 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 6. 6. 2024.
Neautentizovanému vzdialenému útočníkovi je umožnené obísť PHP Filter, čo môže viesť k rôznym útokom na webové stránky, ako napríklad XSS alebo SQL injection [1].
Zraniteľnosť sa nachádza v produkte php vo verziách (>=8.1 AND <8.1.29) OR (>=8.2 AND <8.2.20) OR (>=8.3 AND <8.3.8)
Viac informácií:
- CVE-2024-5458 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-385: Covert Timing Channel at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 6. 6. 2024.
Odkazy
Publikoval Martin Krajči dňa 15. 7. 2024.
