Hay tres vulnerabilidades descubiertas en el codigo de PHP7 que permiten al atacante tomar control completo del 80 % de los sitios web que corren con la última versión del popular lenguaje de programación.
Estas vulnerabilidades residen en el mecanismo de des-serialización de PHP7 – el mismo mecanismo fue encontrado vulnerable en PHP5 también, permitiendo a los atacantes comprometer Drupal, Joomla, Magento, vBulletin y PornHub, asi como otro tanto de sitios web al enviar cookies maliciosas a los clientes.
Mientras que los investigadores encontraron las fallas en el mismo mecanismo, las vulnerabilidades en PHP 7 son diferentes a las de PHP5.
Registradas como CVE-2016-7479, CVE-2016-7480, y CVE-2016-7478, las fallas pueden ser explotadas de manera separada.
- CVE-2016-7479—Use-After-Free Code Execution
- CVE-2016-7480—Use of Uninitialized Value Code Execution
- CVE-2016-7478—Remote Denial of Service.
Las primeras dos, si se explotan, pueden permitir al atacante tomar control completo del servidor, permitiendo al atacante hacer de todo, desde enviar malware hasta robar datos de clientes o hacer un deface.
La tercera vulnerabilidad puede ser explotada para generar un DoS, permitiendo al atacante colgar el sitio. Sin memoria para consumir y eventualmente tumbar el sistema.
Parches para las dos primeras vulnerabilidades han sido enviadas al equipo de desarrollo de PHP el 13 de octubre y 1ero de Diciembre pero una sigue sin ser parchada.
Para mantener la seguridad de sus servidores es recomendable actualizar a la versión mas reciente de PHP.