Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta a la librería Snappy de PHP, que permitiría a un atacante realizar ejecución de código arbitrario y obtener acceso al sistema afectado.
La vulnerabilidad identificada como CVE-2023-41330, de severidad “Crítica”, con una puntuación asignada de 9.8. Esta vulnerabilidad debe a una falla de validación de datos en el proceso de deserialización PHAR en la librería Snappy de PHP. La explotación exitosa de esta vulnerabilidad permitiría al atacante ejecutar código arbitrario y acceder al sistema de archivos subyacente. si éste está ejecutando una versión de PHP anterior a PHP 8.
El producto afectado es:
- Librería Snappy de PHP, versiones anteriores a 1.4.3.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en el siguiente enlace:
Referencias:
- https://securityonline.info/cve-2023-41330-critical-rce-flaw-reported-in-popular-snappy-php-library/?expand_article=1#google_vignette
- https://nvd.nist.gov/vuln/detail/CVE-2023-41330
- https://github.com/KnpLabs/snappy/security/advisories/GHSA-92rv-4j2h-8mjj
- https://github.com/KnpLabs/snappy/releases/tag/v1.4.3