Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la extensión SOAP para conexión con un servidor SOAP en PHP (CVE-2021-21702)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-476 Desreferencia a puntero nulo (NULL)
Fecha de publicación:
15/02/2021
Última modificación:
10/12/2021

Descripción

En PHP versiones 7.3.x por debajo de 7.3.27, 7.4.x por debajo de 7.4.15 y 8.0.x por debajo de 8.0.2, cuando se usa la extensión SOAP para conectarse a un servidor SOAP, un servidor SOAP malicioso podría devolver datos XML malformados como respuesta eso haría que PHP acceda a un puntero null y, por tanto, causaría un bloqueo

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:php:php:*:*:*:*:*:*:*:* 7.3.0 (incluyendo) 7.3.27 (excluyendo)
cpe:2.3:a:php:php:*:*:*:*:*:*:*:* 7.4.0 (incluyendo) 7.4.15 (excluyendo)
cpe:2.3:a:php:php:*:*:*:*:*:*:*:* 8.0.0 (incluyendo) 8.0.2 (excluyendo)
cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*
cpe:2.3:a:netapp:clustered_data_ontap:-:*:*:*:*:*:*:*
cpe:2.3:a:oracle:communications_diameter_signaling_router:*:*:*:*:*:*:*:* 8.0.0 (incluyendo) 8.5.0 (incluyendo)