Los mantenedores del lenguaje de programación PHP lanzaron recientemente parches para las últimas versiones de PHP que corrigen múltiples vulnerabilidades de alta gravedad en sus bibliotecas de núcleo y extendidas, la más grave de las cuales podría permitir a los atacantes remotos ejecutar código arbitrario y comprometer los servidores vulnerables.
El lenguaje de programación PHP es el más popular de los lenguajes de programación del lado del servidor y actualmente está detrás de más del 78 por ciento de todos los sitios web de Internet.
Las últimas versiones bajo varias ramas mantenidas incluyen PHP versión 7.3.9, 7.2.22 y 7.1.32, solucionan múltiples vulnerabilidades de seguridad.
Dependiendo del tipo, la ocurrencia y el uso que hace la base del código PHP una aplicación web, la explotación exitosa de algunas de las vulnerabilidades más graves podría permitir a un atacante ejecutar código arbitrario en el contexto de la aplicación afectada con los privilegios asociados. Pero en combinación con otras vulnerabilidades podría incluso hasta permitir tomar el control del servidor con acceso de root.
Por otro lado, los intentos fallidos de explotación probablemente resultarán en una condición de denegación de servicio (DoS) en los sistemas afectados.
Las vulnerabilidades podrían dejar a cientos de miles de aplicaciones web que dependen de PHP abiertas a ataques de ejecución de código, incluidos sitios web impulsados por algunos sistemas de gestión de contenido populares como WordPress, Drupal o Typo3.
De todas las fallas corregidas, una vulnerabilidad de ejecución de código ‘use-after-free‘, asignada como CVE-2019-13224, reside en Oniguruma, una popular biblioteca de expresiones regulares que viene incluida con PHP, así como muchos otros lenguajes de programación.
Un atacante remoto puede explotar esta falla insertando una expresión regular especialmente diseñada en una aplicación web afectada, lo que puede conducir a la ejecución del código en el servidor o causar la divulgación de información.
En la descripción de la vulnerabilidad en el portal de RedHat se dice: “El atacante proporciona un par de patrones de expresiones regulares y una cadena, con una codificación de varios bytes que se maneja con onig_new_deluxe ()”.
Otros defectos parcheados afectan la extensión curl, la función Exif, el Administrador de procesos FastCGI (FPM), la función Opcache y más.
La buena noticia es que hasta la fecha no hay ningún informe de que estas vulnerabilidades esten siendo activamente explotadas por los ciberdelincuentes.
El equipo de seguridad de PHP ha corregido las vulnerabilidades en las últimas versiones. Por lo tanto, se recomienda encarecidamente a los usuarios y proveedores de alojamiento que actualicen sus servidores a la última versión de PHP que al día de hoy son: 7.3.9, 7.2.22 o 7.1.32.