Sintesi

Rilevate 4 vulnerabilità, di cui una con gravità “critica” e una con gravità “alta”, in PHP, noto interprete del linguaggio di scripting. Tali vulnerabilità, qualora sfruttate, potrebbero consentire la compromissione della disponibilità del servizio e l’esecuzione di codice arbitrario sui sistemi target.

Tipologia

• Arbitrary Code Execution
• Denial of Service

Prodotti e versioni affette

PHP

• 8.3.x, versioni precedenti alla 8.3.6
• 8.2.x, versioni precedenti alla 8.2.18
• 8.1.x, versioni precedenti alla 8.1.28

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di applicare le mitigazioni disponibili seguendo le indicazioni riportate nei bollettini di sicurezza riportati nella sezione Riferimenti.

Identificatori univoci vulnerabilità

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “critica” e “alta”:

CVE-2024-1874

CVE-2024-2757

Riferimenti

https://www.php.net/ChangeLog-8.php

https://news-web.php.net/php.announce/424

https://news-web.php.net/php.announce/423

https://news-web.php.net/php.announce/425 

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.