CSIRT Toscana PHP: PoC pubblico per lo sfruttamento della CVE-2024-2408 (AL01/240617/CSIRT-ITA)
Data:
17 Giugno 2024 09:53
Sintesi
Disponibile un Proof of Concept (PoC) per CVE-2024-2408 – già sanata dal vendor – presente in PHP, noto interprete del linguaggio di scripting.
Tale vulnerabilità interessa la funzione openssl_private_decrypt() che, in determinate circostanze, potrebbe consentire la decrittografia di dati precedentemente crittografati (Marvin Attack) senza l’utilizzo della chiave privata, permettendo ad un utente malintenzionato l’accesso a informazioni sensibili.
Stima d’impatto della vulnerabilità sulla comunità di riferimento: ALTO/ARANCIONE (74,23/100)1.
Tipologia
- Information Disclosure
Prodotti e versioni affette
PHP
- 8.1.x, versioni precedenti al 8.1.29
- 8.2.x, versioni precedenti la 8.2.20
- 8.3.x, versioni precedenti la 8.3.8
Azioni di mitigazione
Ove non provveduto, si raccomanda di aggiornare tempestivamente i prodotti vulnerabili all’ultima versione disponibile.
Identificatori univoci vulnerabilità
Riferimenti
https://www.php.net/downloads.php.
1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.