PHP sérülékenységek


2009. december 18. 23:00

CH azonosító

CH-2745

Felfedezés dátuma

2009.12.18.

Súlyosság

Közepes

Érintett rendszerek

PHP
PHP Group

Érintett verziók

PHP Group PHP 5.2.x

Összefoglaló

A PHP számos sérülékenységét jelentették, melyek közül néhány ismeretlen hatású, míg a többit rosszindulatú felhasználók kihasználhatják egyes biztonsági előírások megkerülésére, a támadók pedig cross-site scripting támadásokat folytathatnak le és szolgáltatás megtagadást (DoS) idézhetnek elő.

Leírás

A PHP számos sérülékenységét jelentették, melyek közül néhány ismeretlen hatású, míg a többit rosszindulatú felhasználók kihasználhatják egyes biztonsági előírások megkerülésére, a támadók pedig cross-site scripting támadásokat folytathatnak le és szolgáltatás megtagadást (DoS) idézhetnek elő.

  1. A “tempnam()” hibája kihasználható a “safe_mode” jellemző figyelmen kívül hagyására.
  2. A “posix_mkfifo()” hibája kihasználható az “open_basedir” jellemző figyelmen kívül hagyására.
  3. Az űrlap-alapú fájl feltöltések feldolgozásának hibája kihasználható DoS okozására, speciálisan erre a célra elkészített kérések küldésével.
  4. A $_SESSION elégtelen megszakítás módosítás elleni védelméből és a “session.save_path” gyenge ellenőrzéséből következő hibák ismeretlen hatásúak.
  5. A “htmlspecialchars()” függvény egyes bemeneteket nem megfelelően ellenőriz. Ezt kihasználva cross-site scripting támadások indíthatók.

A sérülékenységeket az 5.2.12. verziónál korábbiakban jelentették.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Input manipulation (Bemenet módosítás)
Other (Egyéb)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Unknown (Ismeretlen)

Szükséges hozzáférés

Local/Shell (Helyi/shell)
Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.acunetix.com
Egyéb referencia: securityreason.com
Egyéb referencia: securityreason.com
Gyártói referencia: bugs.php.net
Gyártói referencia: www.php.net
Gyártói referencia: www.php.net
SECUNIA 37821
Egyéb referencia: www.vupen.com
CVE-2009-3557 - NVD CVE-2009-3557
CVE-2009-3558 - NVD CVE-2009-3558
CVE-2009-4017 - NVD CVE-2009-4017
CVE-2009-4142 - NVD CVE-2009-4142
CVE-2009-4143 - NVD CVE-2009-4143

Legfrissebb sérülékenységek
CVE-2025-24085 – Apple Multiple Products Use-After-Free sebezhetősége
CVE-2025-23006 – SonicWall SMA1000 Appliances Deserialization sebezhetősége
CVE-2024-3393 – Palo Alto Networks PAN-OS Malicious DNS Packet sebezhetősége
CVE-2025-0282 – Ivanti Connect Secure, Policy Secure, and ZTA Gateways Stack-Based Buffer Overflow sebezhetősége
CVE-2023-48365 – Qlik Sense HTTP Tunneling sebezhetősége
CVE-2024-12686 – BeyondTrust Privileged Remote Access (PRA) and Remote Support (RS) OS Command Injection sebezhetősége
CVE-2024-55591 – Fortinet FortiOS and FortiProxy Authentication Bypass sebezhetősége
CVE-2024-50603 – Aviatrix Controllers OS Command Injection sebezhetősége
CVE-2020-11023 – JQuery Cross-Site Scripting (XSS) sebezhetősége
CVE-2025-21395 – Microsoft Access Remote Code Execution sebezhetősége
Tovább a sérülékenységekhez »