CVE-2019-3556

Versões do HHVM anteriores à 4.56.2

Versões do HHVM de 4.57.0 a 4.78.0

Versões do HHVM 4.79.0, 4.80.0, 4.81.0, 4.82.0, 4.83.0

O HHVM suporta o uso de um servidor “admin” que aceita solicitações administrativas via HTTP. Um desses manipuladores de solicitação, dump-pcre-cache, pode ser usado para enviar expressões regulares armazenadas em cache do contexto de execução atual para um arquivo. O manipulador recebe um parâmetro que especifica onde, no sistema de arquivos, esses dados devem ser gravados. O parâmetro não é validado, permitindo que um usuário mal-intencionado sobrescreva arquivos arbitrários nos quais o usuário que está executando o HHVM tenha acesso de gravação.

Para versões do HHVM anteriores à 4.56.2, atualize para a versão 4.56.2 ou posterior.

Para versões do HHVM de 4.57.0 a 4.78.0, atualize para a versão 4.78.1 ou posterior.

Para as versões 4.79.0, 4.80.0, 4.81.0, 4.82.0 e 4.83.0 do HHVM, atualize para uma versão que não seja afetada por este problema.

Como solução temporária, considere desativar o manipulador de solicitações dump-pcre-cache até que um patch esteja disponível.