CVE-2024-2408 in PHP (Marvin Attack)
Sumário
de VulDB • 25/05/2026
A função openssl_private_decrypt do PHP, ao utilizar o preenchimento PKCS1 (OPENSSL_PKCS1_PADDING, que é o padrão), é vulnerável ao Marvin Attack, a menos que seja utilizada com uma versão do OpenSSL que inclua as alterações deste pull request: https://github.com/openssl/openssl/pull/13817 (rsa_pkcs1_implicit_rejection). Estas alterações fazem parte do OpenSSL 3.2 e também foram retrotrazidas (backported) para versões estáveis de várias distribuições Linux, bem como para as compilações do PHP fornecidas para Windows desde a versão anterior. Todos os distribuidores e construtores devem garantir que esta versão seja utilizada para evitar que o PHP fique vulnerável.
As compilações do PHP para Windows das versões 8.1.29, 8.2.20 e 8.3.8 e superiores incluem correções do OpenSSL que resolvem a vulnerabilidade.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.