Plusieurs vulnérabilités et bogues corrigés dans PHP

Plusieurs vulnérabilités ont été corrigées dans PHP. Leur exploitation permettrait une injection de code indirecte à distance (XSS). Ces failles impactent, entre autres, Apache2, bz2, gettext, iconv, intl, libxml, openSSL, zlib dont dépendent plusieurs solutions logicielles (en particulier, les applications web d'entreprise embarquant leurs propres versions de ces logiciels ou librairies, comme les logiciels de gestion de paie). Ces dernières devraient bientôt proposer des mises à jour pour corriger ces vulnérabilités.

Informations
+

Risque

  • Injection de code indirecte à distance (XSS)

Criticité

  • CVSS v3 : en cours d'analyse

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • PHP versions 5.6.x antérieures à 5.6.38
  • PHP versions 7.0.x antérieures à 7.0.32
  • PHP versions 7.1.x antérieures à 7.1.22
  • PHP versions 7.2.x antérieures à 7.2.10

CVE

  • Non référencées

Recommandations
+

Correctifs

  • La vulnérabilité est corrigée à partir des versions 5.6.38, 7.0.32, 7.1.22, 7.2.10

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.