Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en PHP (CVE-2017-16642)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-125 Lectura fuera de límites
Fecha de publicación:
07/11/2017
Última modificación:
20/04/2025

Descripción

En PHP, en versiones anteriores a la 5.6.32, versiones 7.x anteriores a la 7.0.25 y versiones 7.1.x anteriores a la 7.1.11, un error en la manipulación de timelib_meridian de la extensión de fecha de las directivas "front of" y "back of" podría ser empleado por atacantes capaces de proporcionar cadenas de fechas para filtrar información del intérprete. Esto está relacionado con lecturas fuera de límites de ext/date/lib/parse_date.c que afectan a la función php_parse_date. NOTA: este problema es diferente de CVE-2017-11145.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:php:php:*:*:*:*:*:*:*:* 5.6.32 (excluyendo)
cpe:2.3:a:php:php:*:*:*:*:*:*:*:* 7.0.0 (incluyendo) 7.0.25 (excluyendo)
cpe:2.3:a:php:php:*:*:*:*:*:*:*:* 7.1.0 (incluyendo) 7.1.11 (excluyendo)
cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:14.04:*:*:*:lts:*:*:*
cpe:2.3:a:netapp:storage_automation_store:-:*:*:*:*:*:*:*
cpe:2.3:o:netapp:clustered_data_ontap:-:*:*:*:*:*:*:*