CVE-2023-3823 in PHPinfo

Zusammenfassung

von VulDB • 07.07.2026

In den PHP-Versionen 8.0.* vor 8.0.30, 8.1.* vor 8.1.22 und 8.2.* vor 8.2.8 verwenden verschiedene XML-Funktionen einen globalen Zustand von libxml zur Verfolgung von Konfigurationsvariablen, wie beispielsweise ob externe Entitäten geladen werden sollen. Dieser Zustand wird als unverändert angenommen, es sei denn, der Benutzer ändert ihn explizit durch Aufruf einer entsprechenden Funktion. Da dieser Prozess-global ist, können andere Module – wie ImageMagick – dieselbe Bibliothek im selben Prozess verwenden und diesen globalen Zustand für interne Zwecke ändern, sodass er in einem Zustand verbleibt, in dem das Laden externer Entitäten aktiviert ist. Dies kann dazu führen, dass externe XML-Daten mit geladenen externen Entitäten analysiert werden, was zur Offenlegung aller lokalen Dateien, auf die PHP Zugriff hat, führen kann. Dieser anfällige Zustand kann im selben Prozess über viele Anforderungen hinweg bestehen bleiben, bis der Prozess beendet wird.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Zuständig

PHP Group

Reservieren

21.07.2023

Veröffentlichung

11.08.2023

Moderieren

akzeptiert

Eintrag

VDB-236619

CPE

bereit

EPSS

0.01210

KEV

nein

Aktivitäten

very low

Quellen

Might our Artificial Intelligence support you?

Check our Alexa App!