Zurück zur Liste

spomky-labs/otphp: Unbounded digits parameter in a provisioning URI triggers an uncaught DivisionByZeroError in OTP generation — GHSA-G7M4-839X-CH6V

GitHub · GitHub · GHSA-G7M4-839X-CH6V

ID
GHSA-G7M4-839X-CH6V
Datum
Activity
Quelle
GitHub
Vendor
GitHub
Risiko
high
CVSS
8.7

Zusammenfassung

## Summary The `digits` parameter parsed from a provisioning URI is validated only with a lower bound (`$value > 0`) and has no upper bound (`src/OTP.php:353-357`). OTP generation computes `$code % (10 ** $this->getDigits())` (`src/OTP.php:283`). When `digits` is large enough that `10 ** digits` overflows PHP's integer range and the `(int)` cast yields `0` (around `digits >= 40` on 64-bit PHP 8.x), the modulo…

Produkt

composer: spomky-labs/otphp

Was tun?

Allgemeine, vorsichtige Schritte (bitte prüfe die offizielle Quelle für Details):

  • Priorisiere sofort Patches oder Mitigations (hohes akutes Risiko).
  • Identifiziere betroffene Produktversionen und prüfe, ob du betroffen bist.
  • Spiele Hersteller-Updates/Patches ein oder setze empfohlene Mitigations um.
  • Lies das offizielle Advisory für betroffene Versionen und konkrete Schritte.

Offizielles Advisory

Mehr dazu

GitHub GitHub 2026-W25