Résumé
Un certain nombre de vulnérabilités ont été découvertes dans PHP, un interpréteur de langage de script bien connu. Ces vulnérabilités, si elles sont exploitées, peuvent permettre de contourner les mécanismes de sécurité et d’exécuter du code arbitraire sur les systèmes cibles.
Notes (mise à jour 13/06/2024) : La vulnérabilité CVE-2024-4577 semble être activement exploitée dans le réseau.
Notes (mises à jour le 10/06/2024) : Une Proof of Concept (PoC) pour l’exploitation de CVE-2024-4577 semble être disponible sur le réseau.
Risque
Estimation de l’impact de la vulnérabilité sur la communauté cible : Serious/RED (77.05/100)1. (mise à jour 10/06/2024)
Type de vulnérabilité
- Arbitrary Code Execution
- Security Restrictions Bypass
Produits et versions affectés
PHP
- 8.3.x, versions antérieures à 8.3.8
- 8.2.x, versions antérieures à 8.2.20
- 8.1.x, versions antérieures à 8.1.29
Mesures d’atténuation
Conformément aux déclarations de l’éditeur, il est recommandé d’appliquer les mesures d’atténuation disponibles en suivant les conseils donnés dans les bulletins de sécurité de la section Références.
Identifiants uniques de vulnérabilité
Seuls les CVE liés à des vulnérabilités de gravité « élevée » sont répertoriés ci-dessous :
Références
https://www.php.net/ChangeLog-8.php
https://news-web.php.net/php.announce/428
https://news-web.php.net/php.announce/429
https://news-web.php.net/php.announce/430
1Cette estimation est faite en tenant compte de plusieurs paramètres, notamment : CVSS, disponibilité des patch/workaround et des PoC, diffusion des logiciels/appareils concernés dans la communauté concernée.
