CVE-2024-2408 in PHP (Marvin Attack)información

Resumen

por MITRE • 2024-06-09

La función openssl_private_decrypt en PHP, cuando se usa el relleno PKCS1 (OPENSSL_PKCS1_PADDING, que es el valor predeterminado), es vulnerable al ataque Marvin a menos que se use con una versión de OpenSSL que incluya los cambios de esta solicitud de extracción: https://github.com/ openssl/openssl/pull/13817 (rsa_pkcs1_implicit_rejection). Estos cambios son parte de OpenSSL 3.2 y también se han adaptado a versiones estables de varias distribuciones de Linux, así como a las compilaciones de PHP proporcionadas para Windows desde la versión anterior. Todos los distribuidores y constructores deben asegurarse de que esta versión se utilice para evitar que PHP sea vulnerable. Las compilaciones PHP de Windows para las versiones 8.1.29, 8.2.20 y 8.3.8 y superiores incluyen parches OpenSSL que corrigen la vulnerabilidad.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Reservar

2024-03-12

Divulgación

2024-06-09

Moderación

aceptado

Artículo

VDB-267622

CPE

listo

EPSS

0.01158

KEV

no

Actividades

muy bajo

Fuentes

Want to know what is going to be exploited?

We predict KEV entries!