Der IT-Sicherheitsforscher Charles Fol hat zwei Fehler in PHP-Datenbankmodulen gefunden, die er zur Ausführung eigenen Codes nutzen konnte. Die Schwachstellen betreffen alle PHP-Versionen aus den aktuell gepflegten Versionsbäumen bis einschließlich 7.4.29, 8.0.19 und 8.1.6.
Die erste Lücke (CVE-2022-31625) betrifft die Anbindung an postgreSQL-Datenbanken. Durch ein fälschlicherweise initialisiertes Array zur Speicherung von Parametern einer Datenbankanfrage könnten Angreifer bei geschickter Kombination bestimmter Datentypen den Heap korrumpieren und eigenen (Schad-)Code auf dem Zielsystem ausführen.
