Три серьезные уязвимости были обнаружены специалистами компании Check Point в языке программирования PHP 7. Две из них позволяют получить полный контроль над сервером.
После нескольких месяцев внимательного изучения PHP 7 специалисты компании обнаружили ошибки, аналогичные присутствующим в PHP 5, а именно в механизме десериализации. Уязвимости в PHP 5 в свое время активно эксплуатировались хакерами для компрометации сервисов на базе Joomla, Magento, vBulletin и др.
Две уязвимости — CVE-2016-7479 и CVE-2016-7480 — позволяют получить полный контроль над сервером. Первая позволяет вызывать память после высвобождения и выполнять код, вторая дает возможность использовать неинициализированные значения и выполнять код. Третья уязвимость CVE-2016-7478 позволяет исчерпать память и вызвать отказ в обслуживании.
Ни одна из уязвимостей, насколько известно представителям Check Point, не эксплуатировалась хакерами. Команда безопасности после уведомления об ошибка PHP исправила две из трех уязвимостей в октябре-декабре этого года, третья пока остается неисправленной.