Des vulnérabilités d'exécution de code arbitraire ont été corrigées dans PHP

De multiples vulnérabilités ont été découvertes dans PHP. Les plus sévères d'entre elles permettraient à un attaquant d'exécuter du code arbitraire dans le contexte de l'application web. En fonction des privilèges accordés à l'application, un attaquant pourrait ainsi installer des programmes, afficher, modifier ou supprimer des données ou encore créer de nouveaux comptes avec des droits utilisateur. L'échec de l'exploitation de la vulnérabilité peut provoquer un déni de service.

Informations
+

Impact

  • Exécution de code arbitraire ;

  • Déni de service.

Criticité

  • CVSS v3 : en cours d'analyse

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • PHP 7.2 versions antérieures à 7.2.5

  • PHP 7.1 versions antérieures à 7.1.17

  • PHP 7.0 versions antérieures à 7.0.30

  • PHP 5.0 versions antérieures à 5.6.36

CVE

  • Pas encore référencées.

Recommandations
+

Correctifs

Les vulnérabilités sont corrigées à partir des versions :

  • 7.2.5

  • 7.1.17

  • 7.0.30

  • 5.6.36

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.