Vulnerabilidades de denegación de servicios (DoS) y acceso no autorizado en PHP

17/02/2023 Noticias 0

Se ha reportado un nuevo aviso de seguridad sobre tres vulnerabilidades que afectan a PHP, que permitirían a un atacante remoto no autenticado provocar denegación de servicios (DoS), evadir controles de autenticación y acceder/modificar datos en el servidor afectado. 

Las vulnerabilidades reportadas se componen de 2 (dos) de severidad “Alta” y 1 (una) de severidad “Baja”. Las mismas se detallan a continuación: 

  • CVE-2023-0662, de severidad “Alta”, con una puntuación asignada de 7.5. Esta vulnerabilidad se debe a una falla en el procesamiento de formularios HTTP de subida de archivos en el servidor de PHP. Esto permitiría a un atacante realizar una sobrecarga y agotamiento de los recursos, provocando denegación de servicios (DoS) en el sistema afectado.  
  • CVE-2023-0568, de severidad “Alta”, con una puntuación asignada de 7.5. Esta vulnerabilidad del tipo heap buffer overflow write se debe a una falla de gestión de memoria en PHP. Esto permitiría a un atacante sobrescribir el buffer asignado con el valor NULL, provocando el acceso o modificación no autorizado de datos. 
  • CVE-2023-0567, de severidad “Baja”, sin una puntuación asignada aún. Esta vulnerabilidad se debe a una falla en el procesamiento de hashes en la función BCrypt de PHP. Esto permitiría a un atacante provocar ataques del tipo buffer overread, permitiendo validar cualquier contraseña como válida en el sistema afectado. 

Los productos afectados son: 

  • PHP, versiones 8.0.x anteriores a 8.0.28. 
  • PHP, versiones 8.1.x anteriores a 8.1.16. 
  • PHP, versiones 8.2.x anteriores a 8.2.3. 

Puede acceder al listado completo de productos afectado aquí 

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en el siguiente enlace: 

Referencias:  

Compartir: