Описание
Уязвимость механизма уничтожения массивов, содержащих объекты интерпретатора языка PHP связана с использованием памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю обойти механизм защиты disable_functions и вызвать команды операционной системы с использованием специально сформированного объекта DateInterval
Вендор
PHP Group
Наименование ПО
PHP
Версия ПО
8.2 (PHP)
8.3 (PHP)
8.4 (PHP)
8.5 (PHP)
Тип ПО
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,3)
Возможные меры по устранению уязвимости
Компенсирующие меры:
- запуск интерпретатора PHP в изолированном окружении с минимальными привилегиями;
- использование отдельных пулов в PHP-FPM для разных пользователей;
- использование средств межсетевого экранирования уровня веб-приложений (WAF) для фильтрации сетевого трафика;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимостей;
- использование средств межсетевого экранирования для ограничения удалённого доступа к уязвимому программному обеспечению;
- отключение неиспользуемых сервисов среды функционирования интерпретатора PHP;
- отключение/удаление неиспользуемых учётных записей пользователей;
- минимизация пользовательских привилегий;
- использование SIEM-систем для отслеживания событий, связанных с действиями пользователей;
- резервное копирование защищаемой информации.
Статус уязвимости
Потенциальная уязвимость
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Информация об устранении отсутствует
Ссылки на источники
9.3 Critical
CVSS3
7.2 High
CVSS2
9.3 Critical
CVSS3
7.2 High
CVSS2