PT-2024-3030 · Php+2 · Php+2

Benjamin Gehrels

+1

·

Publicado

2024-04-11

·

Atualizado

2025-08-11

·

CVE-2024-2757

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
Versões do PHP 8.3.0 a 8.3.4
Descrição
O problema está relacionado à função mb encode mimeheader() no PHP, que pode ser executada indefinidamente para determinadas entradas contendo longas sequências de caracteres não espaciais seguidas por um espaço. Isso pode levar a um potencial ataque DoS se um usuário mal-intencionado enviar dados para um aplicativo que utilize essa função.
Recomendações
Para as versões do PHP 8.3.0 a 8.3.4, atualize para a versão 8.3.5 ou posterior para resolver o problema.
Como solução temporária, considere desativar o uso da função mb encode mimeheader() em aplicativos até que um patch esteja disponível.

Correção

DoS

Resource Exhaustion

Infinite Loop

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-400CWE-835

Identificadores relacionados

ALT-PU-2024-6442
AZL-40055
BDU:2024-03214
BIT-LIBPHP-2024-2757
BIT-PHP-2024-2757
BIT-PHP-MIN-2024-2757
CVE-2024-2757
GHSA-FJP9-9HWX-59FQ
OPENSUSE-SU-2024:13867-1

Produtos afetados

Alt Linux
Php
Red Os