La vulnerabilidad fue identificada como CVE-2021-21708, de severidad crítica, sin puntaje asignado. Dicha vulnerabilidad se debe a una falla en la validación de entrada de datos numéricos en la función php_filter_float(), que permitiría a un atacante realizar ejecución remota de código (RCE) y denegación de servicio (DoS).
Las versiones afectadas son:
- PHP 7.4
- PHP 8.0
Recomendamos instalar las actualizaciones correspondientes provista por PHP, mediante los siguientes enlaces:
- PHP (8.1.3) https://www.php.net/ChangeLog-8.php#8.1.3
- PHP (7.4.28) https://www.php.net/ChangeLog-7.php
Referencias:
- https://nakedsecurity.sophos.com/2022/02/18/irony-alert-php-fixes-security-flaw-in-input-validation-code/
- https://php.watch/news/2022/02/php-security-release
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21708
- https://blog.elhacker.net/2022/02/vulnerabilidad-de-validacion-de-entrada-datos-numeros-funcion-phpfilterfloat-ramas-php.html