Martes, 24 March 2020 17:08

Vulnerabilidad en PHP

El CERT de Entelgy Innotec Security avisa de una vulnerabilidad en el lenguaje de programación PHP.

PHP, lenguaje de programación del lado del servidor, ha hecho público un aviso de seguridad que resuelve una vulnerabilidad de criticidad alta en PHP 7. A continuación, se exponen los detalles de la vulnerabilidad:

  • CVE-2020-7066: El fabricante únicamente ha desvelado que la vulnerabilidad está ubicada en la función get_headers() de PHP, indicando que dicha función trunca los encabezados (headers) al recibir un byte nulo (NULL byte). Este error puede provocar que los encabezados filtren información confidencial o incluso que contengan datos introducidos por un posible atacante.

Por el momento no se tiene conocimiento de reportes sobre una posible explotación activa por parte de ciberdelincuentes que aproveche esta vulnerabilidad, ni la disponibilidad de exploits o pruebas de concepto sobre la misma. La base de datos del NIST tampoco ha registrado el CVE asignado a la vulnerabilidad (CVE-2020-7066), que diferentes investigaciones califican con una criticidad alta.

Recursos afectados:

El fallo ha sido probado en PHP 7.3 pero los investigadores responsables de su reporte afirman que la función get_headers() “... siempre ha tenido ese problema…”.

Hasta la fecha, está confirmado que la vulnerabilidad afecta a PHP 7 en todas sus versiones anteriores a la 7.4.4.

Solución a la vulnerabilidad

Actualizar PHP 7 a la versión 7.4.4 o posterior. Las descargas se encuentran disponibles a través del siguiente enlace:

Recomendaciones

El CERT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Referencias

Visto 28 veces

Avda. Llano Castellano, 43
28034 Madrid
+34 917 281 504
innotec.security


InnoTec

Sobre nosotros

InnoTec nace en 2002 como empresa especializada en ciberseguridad, inteligencia, prevención y gestión de riesgos. Actualmente contamos con una plantilla de más de 350 profesionales altamente cualificados en España, y estamos presentes en los principales mercados de Latinoamérica y Estados Unidos.

Ampliar información
Presentación corporativa