Se han detectado múltiples vulnerabilidades en PHP, incluida una vulnerabilidad de severidad crítica. Estas vulnerabilidades permitirían la manipulación de información sensible.
Productos Afectados
PHP 8.4 – Versiones anteriores a 8.4.1
PHP 8.3 – Versiones anteriores a 8.3.14
PHP 8.2 – Versiones anteriores a 8.2.26
PHP 8.1 – Versiones anteriores a 8.1.31
Impacto
La vulnerabilidad de severidad crítica se identifica como
CVE-2024-8932: Puntuación CVSS 9.8. Una vulnerabilidad de tipo integer overflow en la función idap_escape() permitiría a un atacante escribir datos fuera de los límites de la memoria.
Las demás vulnerabilidades se identifican como
CVE-2024-8929: Puntuación CVSS 5.8, severidad media. Una vulnerabilidad en el cliente permitiría a un atacante obtener información proveniente de consultas SQL y usuarios del servidor.
CVE-2024-11233: Puntuación CVSS 4.8, severidad media. Una vulnerabilidad en el componente convert.quoted-printable-decode permitiría a un atacante causar crasheos o acceder al contenido de otras áreas en la memoria.
CVE-2024-11234: Puntuación CVSS 4.8, severidad media. Una inapropiada sanitización de la URI permitiría a un atacante realizar consultas HTTP maliciosas y obtener acceso a recursos protegidos.
Recomendación
Actualizar los productos afectados a la última versión disponible desde la web oficial del fabricante.
Referencias
https://www.tenable.com/cve/CVE-2024-11234