![php-logo](https://sp-ao.shortpixel.ai/client/to_webp,q_glossy,ret_img/https://www.cert.gov.py/wp-content/uploads/2023/02/php-logo.png)
Se ha reportado un nuevo aviso de seguridad sobre tres vulnerabilidades que afectan a PHP, que permitirían a un atacante remoto no autenticado provocar denegación de servicios (DoS), evadir controles de autenticación y acceder/modificar datos en el servidor afectado.
Las vulnerabilidades reportadas se componen de 2 (dos) de severidad “Alta” y 1 (una) de severidad “Baja”. Las mismas se detallan a continuación:
- CVE-2023-0662, de severidad “Alta”, con una puntuación asignada de 7.5. Esta vulnerabilidad se debe a una falla en el procesamiento de formularios HTTP de subida de archivos en el servidor de PHP. Esto permitiría a un atacante realizar una sobrecarga y agotamiento de los recursos, provocando denegación de servicios (DoS) en el sistema afectado.
- CVE-2023-0568, de severidad “Alta”, con una puntuación asignada de 7.5. Esta vulnerabilidad del tipo heap buffer overflow write se debe a una falla de gestión de memoria en PHP. Esto permitiría a un atacante sobrescribir el buffer asignado con el valor NULL, provocando el acceso o modificación no autorizado de datos.
- CVE-2023-0567, de severidad “Baja”, sin una puntuación asignada aún. Esta vulnerabilidad se debe a una falla en el procesamiento de hashes en la función BCrypt de PHP. Esto permitiría a un atacante provocar ataques del tipo buffer overread, permitiendo validar cualquier contraseña como válida en el sistema afectado.
Los productos afectados son:
- PHP, versiones 8.0.x anteriores a 8.0.28.
- PHP, versiones 8.1.x anteriores a 8.1.16.
- PHP, versiones 8.2.x anteriores a 8.2.3.
Puede acceder al listado completo de productos afectado aquí
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en el siguiente enlace:
Referencias:
- https://securityonline.info/cve-2023-0662-a-remote-unauthenticated-dos-vulnerability-in-php/
- https://nvd.nist.gov/vuln/detail/CVE-2023-0662
- https://nvd.nist.gov/vuln/detail/CVE-2023-0568
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0567
- https://github.com/php/php-src/security/advisories/GHSA-54hq-v5wp-fqgv
- https://www.php.net/downloads