PT-2024-8904 · Php+6 · Php+6

Crispy-Fried-Chicken

+1

·

Publicado

2024-11-15

·

Atualizado

2026-01-19

·

CVE-2024-8932

CVSS v2.0

10

Crítica

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas:
Versões do PHP 8.1.* a 8.1.30
Versões do PHP 8.2.* a 8.2.25
Versões do PHP 8.3.* a 8.3.13
Descrição:
O problema está relacionado à função ldap escape() no PHP, que pode causar um estouro de inteiro quando recebe entradas de strings longas não controladas em sistemas de 32 bits, resultando em uma gravação fora dos limites. Isso pode permitir que um invasor remoto cause uma negação de serviço. O número estimado de dispositivos potencialmente afetados em todo o mundo é superior a 700.000 instâncias.
Recomendações:
Para as versões do PHP 8.1.* a 8.1.30, atualize para a versão 8.1.31 ou posterior.
Para as versões do PHP 8.2.* a 8.2.25, atualize para a versão 8.2.26 ou posterior.
Para as versões do PHP 8.3.* a 8.3.13, atualize para a versão 8.3.14 ou posterior.
Como solução temporária, considere desativar a função ldap escape() até que um patch esteja disponível.

Exploit

Correção

DoS

Memory Corruption

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-787

Identificadores relacionados

ALT-PU-2024-16220
ALT-PU-2024-16262
ALT-PU-2024-16264
ALT-PU-2024-16421
ALT-PU-2024-16432
ALT-PU-2024-16480
ALT-PU-2024-16520
AZL-53480
AZL-53748
BDU:2024-10571
BIT-LIBPHP-2024-8932
BIT-PHP-2024-8932
BIT-PHP-MIN-2024-8932
CVE-2024-8932
DLA-3986-1
DSA-5819-1
GHSA-G665-FM4P-VHFF
MGASA-2024-0375
OESA-2024-2478
OPENSUSE-SU-2024:14521-1
OPENSUSE-SU-2024_4136-1
SUSE-SU-2024:4136-1
USN-7157-1
USN-7157-2
USN-7157-3

Produtos afetados

Alt Linux
Astra Linux
Linuxmint
Php
Red Os
Suse
Ubuntu