Vulnerabilidad en PHP: Ataque de DOS a través de la carga de archivos con un nombre demasiado largo

CVE-ID: CVE-2019-11048

Disponibilidad de expliot: no

Descripción

La vulnerabilidad permite que un atacante remoto realice un ataque de denegación de servicio (DoS).

La vulnerabilidad existe debido a la forma en que PHP maneja nombres largos de archivo o nombres de campo durante la carga de archivos. Un atacante remoto puede proporcionar un nombre de archivo demasiado largo a la aplicación que llevará al motor PHP a intentar asignar un almacenamiento de memoria de gran tamaño, alcanzar el límite de memoria y detener el procesamiento de la solicitud, sin limpiar los archivos temporales creados por la solicitud de carga. Esto conducirá a la acumulación de archivos temporales sin limpiar que agotan el espacio en disco en el servidor de destino.

Mitigación

Instalar actualizaciones del sitio web del proveedor.
Versiones de software vulnerables

PHP: 7.2.0, 7.2.1, 7.2.2, 7.2.3, 7.2.4, 7.2.5, 7.2.6, 7.2.7, 7.2.8, 7.2.9, 7.2.10, 7.2.11, 7.2.12, 7.2.13, 7.2.14, 7.2.15, 7.2.16, 7.2.17, 7.2.18, 7.2.19, 7.2.20, 7.2.21, 7.2.22, 7.2.23, 7.2. 24, 7.2.25, 7.2.26, 7.2.27, 7.2.28, 7.2.29, 7.2.30, 7.3.0, 7.3.0alpha1, 7.3.0alpha4, 7.3.0beta1, 7.3.0beta3, 7.3.1, 7.3.2, 7.3.3, 7.3.4, 7.3.5, 7.3.6, 7.3.7, 7.3.8, 7.3.9, 7.3.10, 7.3.11, 7.3.12, 7.3.13, 7.3. 14, 7.3.15, 7.3.16, 7.3.17, 7.4.0, 7.4.1, 7.4.2, 7.4.3, 7.4.4, 7.4.5