As últimas versões do PHP foram liberados recentemente (versão do PHP 7.3.9, 7.2.22 e 7.1.32 em vários ramos) para solucionar diversas vulnerabilidades altamente críticos em seu núcleo e bibliotecas empacotados. As mais perigosas dessas vulnerabilidades são aquelas que podem levar à execução remota de código.
Por pouco 80% de todos os sites executados em PHP. Mais particularmente, “PHP é usado por 78.9% de todos os sites cuja linguagem de programação do servidor conhecemos”, de acordo com estatísticas W3Techs. Isso significa que as vulnerabilidades podem afetar um grande número de aplicativos da web que utilizam PHP, incluindo sites que funcionam em sistemas de gerenciamento de conteúdo, como WordPress e Drupal, pesquisadores alertam.
Mais especificamente, dependendo da base de código afetada em um aplicativo PHP, o pior cenário de ataques com base nessas falhas pode permitir que os agentes da ameaça executem código arbitrário no contexto do aplicativo. Em caso de tentativa fracassada de exploração, uma negação de serviço (DoS) condição pode ser acionada em sistemas afetados.
Mais sobre CVE-2019-13224
A pior das falhas é conhecida sob o CVE-2019-13224 consultivo. De acordo com a descrição oficial CVE-2019-13224, a vulnerabilidade é "um use-after-free no onig_new_deluxe() em regext.c em Oniguruma 6.9.2”Que pode permitir que os invasores causem potencialmente a divulgação de informações, negação de serviço, ou possivelmente execução de código fornecendo uma expressão regular criada.
O invasor fornece um par de um padrão regex e uma string, com uma codificação multibyte que é tratada por onig_new_deluxe(). Problemas de Oniguruma geralmente afetam Ruby, bem como bibliotecas opcionais comuns para PHP e Rust, o aviso lê.
Os patches já disponíveis abordam vulnerabilidades em cURL, Função Exif, FastCGI Process Manager, OPcache. Atualmente não há informações de ataques ativos contra essas falhas. Contudo, patch imediato é necessário, então considere atualizar para a versão mais recente do PHP 7.3.9, 7.2.22, ou 7.1.32 o mais cedo possível. Deve-se notar que a versão PHP 7.1.32 corrige a falha CVE-2019-13224.