Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en función phar_parse_pharfile en ext/phar/phar.c en PHP (CVE-2016-10159)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-190 Desbordamiento o ajuste de enteros
Fecha de publicación:
24/01/2017
Última modificación:
20/04/2025

Descripción

Desbordamiento de entero en la función phar_parse_pharfile en ext/phar/phar.c en PHP en versiones anteriores a 5.6.30 y 7.0.x en versiones anteriores a 7.0.15 permite a atacantes remotos provocar una denegación de servicio (consumo de memoria o caída de aplicación) a través de una entrada de manifiesto truncado en un archivo PHAR.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:php:php:*:*:*:*:*:*:*:* 5.6.29 (incluyendo)
cpe:2.3:a:php:php:*:*:*:*:*:*:*:* 7.0.0 (incluyendo) 7.0.15 (excluyendo)
cpe:2.3:a:php:php:7.1.0:-:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*