La actualización de PHP corrige la falla de ejecución de código arbitrario y otros 9 errores

El Centro de Análisis e Intercambio de Información Multiestatal del Centro para la Seguridad de Internet (MS-ISAC) emitió el viernes un aviso de seguridad instando a los desarrolladores a actualizar a la última versión de PHP para reparar una vulnerabilidad de ejecución de código arbitraria que se encontró en el lenguaje de programación.

“PHP es propenso a una vulnerabilidad de heap-based buffer overflow, porque la aplicación no puede verificar adecuadamente los límites proporcionados por los datos del usuario antes de copiarlos en un búfer de tamaño insuficiente. Específicamente, este problema existe en la función «mb_eregi ()».

“La explotación exitosa de esta vulnerabilidad podría permitir la ejecución de código arbitrario en el contexto de la aplicación afectada. Dependiendo de los privilegios asociados con la aplicación, un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con plenos derechos de usuario. La explotación fallida podría resultar en una condición de denegación de servicio».

Aunque no hay informes de que esta vulnerabilidad ya sea explotada, MS-ISAC evalúa que el riesgo para gobiernos y entidades comerciales de todos los tamaños sea alto.

Incluyendo el error de desbordamiento del búfer mencionado anteriormente, la versión del equipo de desarrollo PHP del 26 de septiembre de PHP versión 7.3.10 reparó 10 errores y también entregó otras mejoras.