Se ha detectado una
vulnerabilidad en PHP que podría permitir a un atacante remoto sin
autenticación ejecutar código arbitrario en el sistema, catalogada de Importancia: 5 - Crítica
Recursos afectados:
- PHP 7.0.*
- PHP 7.1.*
Recomendación
Por el momento no se
ha publicado ninguna solución. Se recomienda la monitorización de los sistemas
afectados junto con el empleo de una solución antivirus y un cortafuegos hasta
que la actualización que solucione la vulnerabilidad sea publicada.
Detalle de vulnerabilidades
Una vulnerabilidad en
la función mysqli_real_escape_string() definida en código de mysqli_api.c podría
generar un desbordamiento de enteros en la memoria, debido a esta
vulnerabilidad, un atacante remoto sin autenticación podría realizar una
consulta maliciosa para realizar ejecución arbitraria de código. Se ha
reservado el identificador CVE-2017-9120 para esta vulnerabilidad.
Más información
·
Bug
#74544 Integer overflow in
mysqli_real_escape_string() https://bugs.php.net/bug.php?id=74544
·
PHP
mysqli_real_escape_string() Integer Overflow Arbitrary Code Execution
Vulnerability https://tools.cisco.com/security/center/viewAlert.x?alertId=58643
Fuente: INCIBE
