CVE-2024-2408 in PHP (Marvin Attack)informação

Sumário

de VulDB • 25/05/2026

A função openssl_private_decrypt do PHP, ao utilizar o preenchimento PKCS1 (OPENSSL_PKCS1_PADDING, que é o padrão), é vulnerável ao Marvin Attack, a menos que seja utilizada com uma versão do OpenSSL que inclua as alterações deste pull request: https://github.com/openssl/openssl/pull/13817 (rsa_pkcs1_implicit_rejection). Estas alterações fazem parte do OpenSSL 3.2 e também foram retrotrazidas (backported) para versões estáveis de várias distribuições Linux, bem como para as compilações do PHP fornecidas para Windows desde a versão anterior. Todos os distribuidores e construtores devem garantir que esta versão seja utilizada para evitar que o PHP fique vulnerável.

As compilações do PHP para Windows das versões 8.1.29, 8.2.20 e 8.3.8 e superiores incluem correções do OpenSSL que resolvem a vulnerabilidade.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Reservar

12/03/2024

Divulgação

09/06/2024

Moderação

aceite

Entrada

VDB-267622

CPE

pronto

EPSS

0.01158

KEV

não

Atividades

muito baixo

Fontes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!