Eric Stern

**Nome do software vulnerável e versões afetadas** Versões do PHP 8.1.* a 8.1.27 Versões do PHP 8.2.* a 8.2.17 Versões do PHP 8.3.* a 8.3.4 **Descrição** O problema está relacionado ao processo de verificação de senha no PHP. Se uma senha armazenada com `password hash()` começar com um byte nulo (`x00`), testar uma string vazia como senha via `password verify()` retornará incorretamente o valor true. Essa falha pode permitir que um invasor remoto contorne o processo de autenticação e obtenha acesso não autorizado a um aplicativo web. **Recomendações** Para as versões do PHP 8.1.* a 8.1.27, atualize para a versão 8.1.28 ou posterior. Para as versões do PHP 8.2.* a 8.2.17, atualize para a versão 8.2.18 ou posterior. Para as versões do PHP 8.3.* a 8.3.4, atualize para a versão 8.3.5 ou posterior. Como solução temporária, considere restringir o uso da função `password verify()` até que um patch esteja disponível. Evite usar senhas que comecem com um byte nulo (`x00`) nas versões afetadas do PHP.