Risque

  • Contournement de la politique de sécurité ;
  • Injection de requête SQL.

Systèmes affectés

  • PHP 5.3.x antérieure à 5.3.11;
  • PHP 5.4.x antérieure à 5.4.1.

Résumé

Trois vulnérabilités ont été corrigées dans PHP. Deux d'entre-elles concernent les branches 5.3.x et 5.4.x. La dernière (CVE-2012-0831) ne concerne que la branche 5.3.x et corrige un problème lié à magic_quote_gpc lors du chargement de variables d'environnement, ce qui peut faciliter l'injection de requête SQL par un attaquant distant.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation