ГлавнаяБаза уязвимостей БДУ → BDU:2026-02404
7.2критическая

BDU:2026-02404

Уязвимость механизма уничтожения массивов, содержащих объекты интерпретатора языка PHP, позволяющая нарушителю обойти механизм защиты disable_functions и вызвать команды операционной системы
Опубликовано: 2026-03-02
Описание

Уязвимость механизма уничтожения массивов, содержащих объекты интерпретатора языка PHP связана с использованием памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю обойти механизм защиты disable_functions и вызвать команды операционной системы с использованием специально сформированного объекта DateInterval

Затрагиваемое ПО и версии
PHP (8.2)PHP (8.3)PHP (8.4)PHP (8.5)
Способ устранения

Компенсирующие меры:
- запуск интерпретатора PHP в изолированном окружении с минимальными привилегиями;
- использование отдельных пулов в PHP-FPM для разных пользователей;
- использование средств межсетевого экранирования уровня веб-приложений (WAF) для фильтрации сетевого трафика;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимостей;
- использование средств межсетевого экранирования для ограничения удалённого доступа к уязвимому программному обеспечению;
- отключение неиспользуемых сервисов среды функционирования интерпретатора PHP;
- отключение/удаление неиспользуемых учётных записей пользователей;
- минимизация пользовательских привилегий;
- использование SIEM-систем для отслеживания событий, связанных с действиями пользователей;
- резервное копирование защищаемой информации.

Оценка CVSS
Балл7.2 — критическая опасность
Источники и патчи
https://github.com/m0x41nos/TimeAfterFree
Проверьте безопасность своего сайта и почты → Полная проверка домена