Se ha descubierto una vulnerabilidad crítica en la función extract() de PHP, que permite a los atacantes ejecutar código arbitrario aprovechando fallos de corrupción de memoria.
El problema afecta a las versiones de PHP 5.x, 7.x y 8.x, lo que permite a los atacantes activar condiciones de doble liberación (PHP 5.x) o de uso después de la liberación (PHP 7.x/8.x), lo que finalmente provoca la ejecución remota de código (RCE).
Según el informe de SSD, la falla se debe a un manejo incorrecto del indicador EXTR_REFS en extract(), que importa variables a la tabla de símbolos como referencias. Al sobrescribir variables existentes, la función llama a zval_ptr_dtor para destruir el valor original. Si la variable original es un objeto, su método __destruct se invoca durante la destrucción, lo que permite a los atacantes manipular la entrada.
Los exploits de prueba de concepto demuestran cómo encadenar estas primitivas para lograr RCE. Por ejemplo, sobrescribir el controlador de una función deshabilitada como system() con una dirección legítima restaura su capacidad de ejecución.
El equipo de PHP ha corregido el problema en el aviso de GitHub GHSA-4pwq-3fv3-gm94 (aún no publicado). Los administradores deben:
- Actualizar PHP a la última versión inmediatamente.
- Auditar el código para detectar el uso inseguro de extract(), especialmente con datos controlados por el usuario (p. ej., extract($_POST)).
- Reemplazar extract() con asignaciones explícitas de variables o usar indicadores como EXTR_PREFIX_ALL para aislar variables.
Esta vulnerabilidad pone de relieve los riesgos de larga data en extract() de PHP, que se ha señalado durante décadas como susceptible a un uso indebido. Se insta a los desarrolladores a evitar extract() por completo para la entrada del usuario y a adoptar prácticas de codificación seguras.
La vulnerabilidad extract() resalta los peligros de las funciones heredadas en los ecosistemas modernos. Si bien existen parches disponibles, las revisiones proactivas de código y las actualizaciones de dependencias siguen siendo cruciales para mitigar estos riesgos.
Las organizaciones que usan PHP deben priorizar la actualización y la eliminación de patrones inseguros para evitar su explotación.
Fuente: GBHackers