Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Vulnerabilidad de desbordamiento de enteros en PHP

Fecha de publicación: 16/08/2018

Importancia: Crítica

Recursos afectados:

  • PHP 7.0.*
  • PHP 7.1.*

Descripción:

Se ha detectado una vulnerabilidad en PHP que podría permitir a un atacante remoto sin autenticación ejecutar código arbitrario en el sistema.

Solución:

Por el momento no se ha publicado ninguna solución. Se recomienda la monitorización de los sistemas afectados junto con el empleo de una solución antivirus y un cortafuegos hasta que la actualización que solucione la vulnerabilidad sea publicada.

Detalle:

Una vulnerabilidad en la función mysqli_real_escape_string() definida en código de mysqli_api.cpodría generar un desbordamiento de enteros en la memoria, debido a esta vulnerabilidad, un atacante remoto sin autenticación podría realizar una consulta maliciosa para realizar ejecución arbitraria de código. Se ha reservado el identificador CVE-2017-9120 para esta vulnerabilidad.

Etiquetas: PHP, Vulnerabilidad