Vulnérabilité dans PHP

Date de publication : 29/09/2022

CVE-2021-21702[Score CVSS v3 : 7.5] : Une vulnérabilité dans l’extension SOAP de PHP a été corrigée. Un attaquant distant et non-authentifié peut potentiellement renvoyer des données XML malformées en réponse, ce qui amènerait PHP à accéder à un pointeur nul et donc à provoquer un plantage.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Déni de service

Criticité

Score CVSS v3 : 7.5

Existence d’un code d’exploitation

Aucun code d'exploitation n’est disponible publiquement à l'heure actuelle.

Composants vulnérables

Les versions de PHP 7.3.x inférieures à 7.3.27, 7.4.x inférieures à 7.4.15 et 8.0.x inférieures à 8.0.2 sont impactées par cette vulnérabilité.

CVE

CVE-2021-21702

Solutions ou recommandations

Mise en place de correctifs de sécurité

Mettre à jour PHP vers une des versions suivantes :

7.3.27
7.4.15
8.0.2

Solution de contournement

Aucune solution de contournement n’est disponible publiquement à l'heure actuelle.

Liens

Sec Bug #80672 :: Null Dereference in SoapClient