COORDINACIÓN GENERAL DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN

Múltiples vulnerabilidades en PHP permiten ejecutar código remoto

Fecha de Publicación: Lunes, 9 de Septiembre de 2019

Fuente: https://unaaldia.hispasec.com/2019/09/multiples-vulnerabilidades-en-php-permiten-ejecutar-codigo-remoto.html

6 septiembre, 2019 Por Víctor Reyes Deja un comentario

La última actualización publicada de PHP revela múltiples fallos que han sido parcheados, tanto en el core como en diferentes librerías del lenguaje. La vulnerabilidad más severa permitiría ejecutar código remoto en el servidor de la víctima.

PHP es un lenguaje diseñado originalmente para ser utilizado en aplicaciones basadas en Web junto con HTML. En la actualidad aproximadamente el 78% de los portales web están escritos en PHP, según las estadísticas de w3techs.

Los sistemas afectados a estas vulnerabilidades son los siguientes:
– Versiones PHP 7.1 y anteriores a 7.1.32.
– Versiones PHP 7.2 y anteriores a 7.2.22.
– Versiones PHP 7.3 y anteriores a 7.3.9.

Detalles técnicos de los errores según la actualización publicada por php.net:

Entre los bugs parcheados se encuentra Oniguruma, una popular librería de expresiones regulares que se utiliza internamente en PHP (y en muchos otros lenguajes), que ha sido actualizada a la versión 6.9.3, debido a una vulnerabilidad de ejecución de código ‘user-after-free‘ asignada con el CVE CVE-2019-13224.


Este fallo podría permitir la ejecución de código en la aplicación afectada. En caso de fallar al ejecutar el exploit podría resultar en una denegación de servicio (DoS).

Como se puede observar, los fallos afectan a librerías y funciones ampliamente utilizadas como la función Exif, la extensión Curl, Opcache o FastCGI Proccess Manager (FPM) entre otros.

Por el momento no hay constancia de que estos fallos estén siendo aprovechados y explotados en aplicaciones o sistemas en producción en la red. Sin embargo es altamente recomendable que tanto usuarios como proveedores de hostings actualicen sus servidores a las últimas versiones publicadas 7.3.9, 7.2.22, o 7.1.32.


Más información:

php.net
https://www.php.net/ChangeLog-7.php

Cisecurity
https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-php-could-allow-for-arbitrary-code-execution_2019-087/

The Hacker News
https://thehackernews.com/2019/09/php-programming-language.html

Noticias Anteriores