Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-03215

Опубликовано: 11 апр. 2024
Источник: fstec
CVSS3: 9.1
CVSS2: 9.4
EPSS Низкий

Описание

Уязвимость функции password_verify() интерпретатора языка программирования PHP связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти процесс аутентификации и получить несанкционированный доступ к веб-приложению

Вендор

ООО «Ред Софт»
ООО «РусБИТех-Астра»
АО «ИВК»
PHP Group

Наименование ПО

РЕД ОС
Astra Linux Special Edition
АЛЬТ СП 10
PHP

Версия ПО

7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
- (АЛЬТ СП 10)
от 8.1.0 до 8.1.28 (PHP)
от 8.2.0 до 8.2.18 (PHP)
от 8.3.0 до 8.3.6 (PHP)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
АО «ИВК» АЛЬТ СП 10 -

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
http://www.php.net/ChangeLog-8.php
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Astra Linux:
обновить пакет php7.3 до 7.3.31-1~deb10u6+ci202405131830+astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 17%
0.00054
Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2

Связанные уязвимости

redos логотип

ROS-20240826-22

CVSS3: 9.1
redos
10 месяцев назад

Уязвимость php

redos логотип

ROS-20240826-21

CVSS3: 9.1
redos
10 месяцев назад

Уязвимость php

redos логотип

ROS-20240826-02

CVSS3: 9.1
redos
10 месяцев назад

Уязвимость php

ubuntu логотип

CVE-2024-3096

CVSS3: 6.5
ubuntu
около 1 года назад

In PHP version 8.1.* before 8.1.28, 8.2.* before 8.2.18, 8.3.* before 8.3.5, if a password stored with password_hash() starts with a null byte (\x00), testing a blank string as the password via password_verify() will incorrectly return true.

redhat логотип

CVE-2024-3096

CVSS3: 4.8
redhat
около 1 года назад

In PHP  version 8.1.* before 8.1.28, 8.2.* before 8.2.18, 8.3.* before 8.3.5, if a password stored with password_hash() starts with a null byte (\x00), testing a blank string as the password via password_verify() will incorrectly return true.

EPSS

Процентиль: 17%
0.00054
Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2