Le ultime versioni di PHP sono stati recentemente rilasciati (la versione di PHP 7.3.9, 7.2.22 e 7.1.32 tra diverse filiali) per risolvere diverse vulnerabilità molto gravi nel core e librerie incluse. Il più pericoloso di queste vulnerabilità sono quelli che potrebbero provocare l'esecuzione di codice remoto.
Quasi 80% di tutti i siti web gestiti su PHP. Più in particolare, "PHP è utilizzato da 78.9% di tutti i siti linguaggio di programmazione lato server la cui sappiamo", secondo le statistiche W3Techs. Ciò significa che le vulnerabilità possono interessare un gran numero di applicazioni web che utilizzano PHP, compresi i siti web che girano su sistemi di gestione dei contenuti come WordPress e Drupal, ricercatori avvertono.
Più specificamente, a seconda del codebase colpita in un'applicazione PHP, gli attacchi peggiore delle ipotesi sulla base di questi difetti potrebbero consentire attori minaccia di eseguire codice arbitrario nel contesto dell'applicazione. In caso di un tentativo fallito di sfruttamento, un denial-of-service (DoS) condizione potrebbe essere attivato sui sistemi interessati.
Di più su CVE-2.019-13.224
Il peggiore dei difetti è conosciuto sotto il CVE-2.019-13.224 consulenza. Secondo la descrizione ufficiale CVE-2.019-13.224, la vulnerabilità è “un use-after-free in onig_new_deluxe() in regext.c in Oniguruma 6.9.2”Che potrebbe consentire agli aggressori di potenzialmente causare la divulgazione di informazioni, negazione del servizio, o eventualmente l'esecuzione di codice fornendo un'espressione regolare artigianale.
L'attaccante fornisce un paio di un modello regex e una stringa, con una codifica multi-byte che viene gestito da onig_new_deluxe(). Oniguruma problemi spesso colpiscono Rubino, così come le librerie opzionali comuni per PHP e Rust, l'advisory legge.
Le vulnerabilità di indirizzo patch già disponibili in cURL, la funzione Exif, FastCGI Process Manager, OPcache. Non ci sono attualmente informazioni di attacchi attivi contro questi difetti. Tuttavia, è richiesta l'applicazione di patch immediata, in modo da considerare l'aggiornamento alla versione più recente versione di PHP 7.3.9, 7.2.22, o 7.1.32 il prima possibile. Va notato che la versione di PHP 7.1.32 corregge la falla CVE-2.019-13.224.