Эксперты обнаружили серьезную уязвимость в ряде версий PHP 8, которая может привести к компрометации баз данных через SQL-инъекцию. Проблема затрагивает PHP 8.0.x до версии 8.0.27, 8.1.x до 8.1.15 и 8.2.x до 8.2.2 и связана с некорректной работой функции PDO::quote() при использовании баз данных SQLite.

Функция PDO::quote() используется для экранирования пользовательских данных перед выполнением SQL-запросов. Однако в уязвимых версиях PHP обнаружена ошибка, приводящая к переполнению буфера при обработке длинных строк. В результате хакеры могут сформировать вредоносные SQL-запросы, которые позволяют получить полный доступ к базе данных.

Эксперт «Газинформсервиса» Михаил Спицын пояснил, что уязвимость CVE-2022-31631 представляет серьезную угрозу безопасности веб-приложений. Для защиты он рекомендует использовать Web Application Firewall (WAF), который может блокировать подозрительные SQL-запросы. Однако одного только WAF недостаточно, так как его эффективность зависит от регулярных обновлений.