Vulnerabilidad de desbordamiento de enteros en PHP

Fecha de publicación:

16/08/2018

Importancia:

5 - Crítica

Recursos afectados:

PHP 7.0.*
PHP 7.1.*

Descripción:

Se ha detectado una vulnerabilidad en PHP que podría permitir a un atacante remoto sin autenticación ejecutar código arbitrario en el sistema.

Solución:

Por el momento no se ha publicado ninguna solución. Se recomienda la monitorización de los sistemas afectados junto con el empleo de una solución antivirus y un cortafuegos hasta que la actualización que solucione la vulnerabilidad sea publicada.

Detalle:

Una vulnerabilidad en la función mysqli_real_escape_string() definida en código de mysqli_api.c podría generar un desbordamiento de enteros en la memoria, debido a esta vulnerabilidad, un atacante remoto sin autenticación podría realizar una consulta maliciosa para realizar ejecución arbitraria de código. Se ha reservado el identificador CVE-2017-9120 para esta vulnerabilidad.

Referencias:

Bug #74544 Integer overflow in mysqli_real_escape_string()

PHP mysqli_real_escape_string() Integer Overflow Arbitrary Code Execution Vulnerability

Etiquetas:

PHP

Vulnerabilidad

Accesos corporativos

Vulnerabilidad de desbordamiento de enteros en PHP

Múltiples vulnerabilidades en router Netgear Orbi

Múltiples vulnerabilidades en productos Aspera Faspex de IBM

Múltiples vulnerabilidades en Moodle

Vulnerabilidades 0day en chipsets Exynos de Samsung

Múltiples vulnerabilidades en el core de Drupal