Vulnerabilidad de desbordamientos de enteros en PHP 7 permitiría una denegación de servicio

Recientemente fue descubierta una vulnerabilidad en PHP que afecta a versiones anteriores a la 7.4.6, identificada y catalogada como CVE-2019-11048 de criticidad alta.

Este fallo se encuentra en php-src/main/rfc1867.c cuando se realiza la subida de un archivo con un nombre muy grande, lo que podría llevar a un desbordamiento de enteros y seguidamente a un bloqueo del sistema afectado.

Sabiendo esto, un atacante podría subir varios archivos al mismo tiempo con el fin de hacer provecho del fallo, como ninguno de los archivos temp anteriores serán eliminados podría llenar el disco, conllevando a un ataque de denegación de servicio (DoS).

Recomendaciones:

Referencias:

Compartir: