Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-04846

Опубликовано: 09 июн. 2024
Источник: fstec
CVSS3: 5.3
CVSS2: 5
EPSS Низкий

Описание

Уязвимость функции filter_var интерпретатора языка программирования PHP связана с недостаточной проверкой подлинности данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, подменить URL-адреса с ошибочными данными

Вендор

Сообщество свободного программного обеспечения
ООО «Ред Софт»
ООО «РусБИТех-Астра»
Fedora Project
PHP Group

Наименование ПО

Debian GNU/Linux
РЕД ОС
Astra Linux Special Edition
Fedora
PHP

Версия ПО

10 (Debian GNU/Linux)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
39 (Fedora)
40 (Fedora)
от 7.3.27 до 7.3.33 включительно (PHP)
от 7.4.15 до 7.4.33 включительно (PHP)
от 8.0.2 до 8.0.30 включительно (PHP)
от 8.1.0 до 8.1.29 (PHP)
от 8.2.0 до 8.2.20 (PHP)
от 8.3.0 до 8.3.8 (PHP)
1.8 (Astra Linux Special Edition)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
Fedora Project Fedora 39
Fedora Project Fedora 40
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://www.openwall.com/lists/oss-security/2024/06/07/1
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/W45DBOH56NQDRTOM2DN2LNA2FZIMC3PK/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PKGTQUOA2NTZ3RXN22CSAUJPIRUYRB4B/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-5458
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Astra Linux:
обновить пакет php8.2 до 8.2.24-1~deb12u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD
Для ОС Astra Linux:
- обновить пакет php8.1 до 8.1.12-1ubuntu4.3+ci6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
- обновить пакет php7.3 до 7.3.31-1~deb10u8+ci202412101134+astra7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
Для ОС Astra Linux:
- обновить пакет php8.1 до 8.1.12-1ubuntu4.3+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47
- обновить пакет php7.3 до 7.3.31-1~deb10u8+ci202412101134+astra7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 52%
0.00287
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20240820-16

CVSS3: 5.3
redos
10 месяцев назад

Уязвимость php 8.3

redos логотип

ROS-20240820-15

CVSS3: 5.3
redos
10 месяцев назад

Уязвимость php 8.2

redos логотип

ROS-20240820-08

CVSS3: 5.3
redos
10 месяцев назад

Уязвимость php 8.1

ubuntu логотип

CVE-2024-5458

CVSS3: 5.3
ubuntu
около 1 года назад

In PHP versions 8.1.* before 8.1.29, 8.2.* before 8.2.20, 8.3.* before 8.3.8, due to a code logic error, filtering functions such as filter_var when validating URLs (FILTER_VALIDATE_URL) for certain types of URLs the function will result in invalid user information (username + password part of URLs) being treated as valid user information. This may lead to the downstream code accepting invalid URLs as valid and parsing them incorrectly.

redhat логотип

CVE-2024-5458

CVSS3: 5.3
redhat
больше 2 лет назад

In PHP versions 8.1.* before 8.1.29, 8.2.* before 8.2.20, 8.3.* before 8.3.8, due to a code logic error, filtering functions such as filter_var when validating URLs (FILTER_VALIDATE_URL) for certain types of URLs the function will result in invalid user information (username + password part of URLs) being treated as valid user information. This may lead to the downstream code accepting invalid URLs as valid and parsing them incorrectly.

EPSS

Процентиль: 52%
0.00287
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2