Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

redos логотип

ROS-20250115-04

Опубликовано: 15 янв. 2025
Источник: redos

Описание

Множественные уязвимости PHP 8.2

Наименование уязвимого пакета

php

Пакет обновления

php-0:8.2.26-1.el7.x86_64

Версия уязвимого пакета младше

8.2.26-1

Возможные меры по устранению уязвимости

Запретить использование в ОС пакета php или Установить обновление для пакета(ов) php. Установка и обновление пакетов PHP до версии 8.Х на РЕД ОС производится по инструкции: https://redos.red-soft.ru/base/arm/arm-other/php-8-redos-73/

Версия ОС

7.3

Архитектура ОС

x86_64

Дата публикации бюллетеня

15.01.2025

CVE-2024-8932

Идентификатор БДУ ФСТЭК России:

BDU:2024-10571

Описание уязвимости:

Уязвимость функции ldap_escape() интерпретатора языка программирования PHP связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

9.8 Critical

CVSS3

10 Critical

CVSS2

CVE-2024-11234

Идентификатор БДУ ФСТЭК России:

BDU:2024-10555

Описание уязвимости:

Уязвимость конфигурации request_fulluri интерпретатора языка программирования PHP связана с непринятием мер по нейтрализации CRLF-последовательностей в результате использования значения true. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling)

4.8 Medium

CVSS3

4 Medium

CVSS2

CVE-2024-8929

Идентификатор БДУ ФСТЭК России:

BDU:2024-10563

Описание уязвимости:

Уязвимость функции static enum_func_status php_mysqlnd_rset_field_read() интерпретатора языка программирования PHP связана c недостаточной защитой служебных данных в результате выхода операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации

5.8 Medium

CVSS3

4.3 Medium

CVSS2

CVE-2024-11236

Идентификатор БДУ ФСТЭК России:

BDU:2024-09951

Описание уязвимости:

Уязвимость компонентов dblib и firebird интерпретатора языка программирования PHP связана с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путем отправки специально сформированных данных на вход веб-приложения

9.8 Critical

CVSS3

10 Critical

CVSS2

CVE-2024-11233

Идентификатор БДУ ФСТЭК России:

BDU:2024-10540

Описание уязвимости:

Уязвимость фильтра convert.quoted-printable-decode интерпретатора языка программирования PHP связана с переполнением буфера в динамической памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

4.8 Medium

CVSS3

4 Medium

CVSS2