Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en PHP (CVE-2015-9253)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-400 Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
19/02/2018
Última modificación:
19/02/2020

Descripción

Se ha descubierto un problema en PHP en versiones 7.3.x anteriores a la 7.3.0alpha3, versiones 7.2.x anteriores a la 7.2.8 y anteriores a la 7.1.20. El proceso maestro php-fpm reinicia un proceso hijo en un bucle infinito cuando se utilizan funciones de ejecución de programas (por ejemplo, passthru, exec, shell_exec o system) con un flujo non-blocking-STDIN y consumir el espacio del disco con un gran volumen de logs de error, tal y como queda demostrado con un ataque a un cliente de una instalación de alojamiento compartido.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:php:php:*:*:*:*:*:*:*:* 7.1.20 (excluyendo)
cpe:2.3:a:php:php:*:*:*:*:*:*:*:* 7.2.0 (incluyendo) 7.2.8 (excluyendo)
cpe:2.3:a:php:php:7.3.0:alpha1:*:*:*:*:*:*
cpe:2.3:a:php:php:7.3.0:alpha2:*:*:*:*:*:*