NVD脆弱性詳細

CVE-2023-3823

概要	In PHP versions 8.0.* before 8.0.30, 8.1.* before 8.1.22, and 8.2.* before 8.2.8 various XML functions rely on libxml global state to track configuration variables, like whether external entities are loaded. This state is assumed to be unchanged unless the user explicitly changes it by calling appropriate function. However, since the state is process-global, other modules - such as ImageMagick - may also use this library within the same process, and change that global state for their internal purposes, and leave it in a state where external entities loading is enabled. This can lead to the situation where external XML is parsed with external entities loaded, which can lead to disclosure of any local files accessible to PHP. This vulnerable state may persist in the same process across many requests, until the process is shut down.
公表日	2023年8月11日15:15
登録日	2023年8月11日20:00
最終更新日	2024年11月21日17:18

影響を受けるソフトウェアの構成

構成2		以上	以下	より上	未満
cpe:2.3:o:fedoraproject:fedora:38:::::::*

構成3		以上	以下	より上	未満
cpe:2.3:o:debian:debian_linux:10.0:::::::*

関連情報、対策とツール

No	URL	タグ
1	https://github.com/php/php-src/security/advisories/GHSA-3qrf-m4j2-pcrr	Exploit Third Party Advisory
2	https://github.com/php/php-src/security/advisories/GHSA-3qrf-m4j2-pcrr	Exploit Third Party Advisory
3	https://lists.debian.org/debian-lts-announce/2023/09/msg00002.html	Mailing List
4	https://lists.debian.org/debian-lts-announce/2023/09/msg00002.html	Mailing List
5	https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7NBF77WN6DTVTY2RE73IGPYD6M4PIAWA/	Mailing List
6	https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7NBF77WN6DTVTY2RE73IGPYD6M4PIAWA/	Mailing List
7	https://security.netapp.com/advisory/ntap-20230825-0001/	Third Party Advisory
8	https://security.netapp.com/advisory/ntap-20230825-0001/	Third Party Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-611	XML 外部エンティティ参照の不適切な制限	https://cwe.mitre.org/data/definitions/611.html

JVN脆弱性情報

The PHP Group の PHP 等複数ベンダの製品における XML 外部エンティティの脆弱性

タイトル	The PHP Group の PHP 等複数ベンダの製品における XML 外部エンティティの脆弱性
概要	The PHP Group の PHP 等複数ベンダの製品には、XML 外部エンティティの脆弱性が存在します。
想定される影響	情報を取得される可能性があります。
対策	参考情報を参照して適切な対策を実施してください。
公表日	2023年8月11日0:00
登録日	2024年1月22日14:39
最終更新日	2024年1月22日14:39

影響を受けるシステム

The PHP Group

PHP 8.0.0 以上 8.0.30 未満

PHP 8.1.0 以上 8.1.22 未満

PHP 8.2.0 以上 8.2.9 未満

Debian

Debian GNU/Linux 10.0

Fedora Project

Fedora 38

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2023-3823	https://www.cve.org/CVERecord?id=CVE-2023-3823
National Vulnerability Database (NVD)
2	CVE-2023-3823	https://nvd.nist.gov/vuln/detail/CVE-2023-3823

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-611	https://cwe.mitre.org/data/definitions/611.html

その他

No	名前	URL
関連文書
1	github.com (GHSA-3qrf-m4j2-pcrr)	https://github.com/php/php-src/security/advisories/GHSA-3qrf-m4j2-pcrr
2	lists.debian.org (msg00002)	https://lists.debian.org/debian-lts-announce/2023/09/msg00002.html
3	lists.fedoraproject.org (7NBF77WN6DTVTY2RE73IGPYD6M4PIAWA)	https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7NBF77WN6DTVTY2RE73IGPYD6M4PIAWA/
4	security.netapp.com (ntap-20230825-0001)	https://security.netapp.com/advisory/ntap-20230825-0001/

変更履歴

No	変更内容	変更日
1	[2024年01月22日] 掲載	2024年1月22日14:39