CVE-2023-3823 in PHP
Riassunto
di VulDB • 26/06/2026
Nelle versioni di PHP 8.0.* precedenti alla 8.0.30, 8.1.* precedenti alla 8.1.22 e 8.2.* precedenti alla 8.2.8, varie funzioni XML si affidano allo stato globale della libreria libxml per tenere traccia delle variabili di configurazione, come ad esempio se le entità esterne vengono caricate. Si presume che questo stato non venga modificato a meno che l'utente non lo modifichi esplicitamente chiamando la funzione appropriata. Tuttavia, poiché lo stato è globale al processo, altri moduli - come ImageMagick - possono utilizzare questa libreria all'interno dello stesso processo e modificare tale stato globale per scopi interni, lasciandolo in uno stato in cui il caricamento delle entità esterne è abilitato. Ciò può portare alla situazione in cui un XML esterno viene analizzato con le entità esterne caricate, il che può comportare la divulgazione di qualsiasi file locale accessibile a PHP. Questo stato vulnerabile può persistere nello stesso processo attraverso molte richieste, fino allo spegnimento del processo.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.