PT-2020-6652 · Php · Php

Vasyl Kaigorodov

·

Publicado

2020-02-19

·

Atualizado

2024-06-15

·

CVE-2014-3622

CVSS v2.0

9.3

Alta

VetorAV:N/AC:M/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
Versões do PHP 5.6.x a 5.6.0
Descrição
O problema está relacionado a uma vulnerabilidade do tipo “use-after-free” na função add post var do componente Posthandler. Essa vulnerabilidade pode ser explorada por invasores remotos para executar código PHP arbitrário, aproveitando uma extensão de filtro de terceiros que acessa um determinado valor ksep.
Recomendações
Para as versões do PHP 5.6.x a 5.6.0, atualize para a versão 5.6.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a extensões de filtro de terceiros que possam acessar o valor ksep até que um patch seja aplicado.

Exploit

Correção

RCE

Use After Free

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-416

Identificadores relacionados

BDU:2022-02641
CVE-2014-3622
OPENSUSE-SU-2024:10290-1
OPENSUSE-SU-2024:10344-1
OPENSUSE-SU-2024:11169-1

Produtos afetados

Php