Nueva vulnerabilidad en PHP 5.2.0

mopb-logo.png
Desde que comenzara la web el ‘mes de php bugs’, se han descubierto 16 nuevas vulnerabilidades en el popular lenguaje de servidores

La última descubierta afecta a PHP 5.2.0 con el módulo PECL zip, requerida por muchas populares aplicaciones PHP. Un desbordamiento al interpretar el URL puede utilizarse para mandar comandos al servidor. Ya que dicho parámetro no pasa por los filtros necesarios, el desbordamiento puede utilizarse incluso si PHP ini está configurada correctamente.
La página web da ejemplos como crear un zip:// URL y después ejecuta el desbordamiento. Esto presenta un problema porque aplicaciones como WordPress abren URL proporcionadas por el que ataca utilizando la función pingback!.

Leave a Reply

18 − three =

This site uses Akismet to reduce spam. Learn how your comment data is processed.