Уязвимость BDU:2022-01596

Идентификатор: BDU:2022-01596.

Наименование уязвимости: Уязвимость функции filter_var интерпретатора языка PHP, позволяющая нарушителю выполнить произвольный код.

Описание уязвимости: Уязвимость функции filter_var интерпретатора языка PHP связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью специально сформированного пользовательского ввода
Уязвимое ПО: Прикладное ПО информационных систем PHP Group PHP — |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 26.03.2022.
CVSS 2.0: AV:N/AC:H/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению:
Компенсирующие меры:
— ограничение возможного размера пользовательского ввода до 4 Гб;
— использование межсетевого экрана уровня приложений (WAF) для фильтрации пользовательского ввода.
Статус уязвимости: Потенциальная уязвимость
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Информация об устранении отсутствует
Идентификаторы других систем описаний уязвимости:

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://pwning.systems/posts/php_filter_var_shenanigans/