PHP(Hypertext Preprocessor),是一种被广泛用于开发 Web 项目的服务 端通用脚本语言,于 1995 年发布 1.0 版本,目前最新版本为 8.1.7。 北京时间 2022 年 6 月 10 日,PHP 发布了 PHP 7.4.30 和 8.1.7 版本,并披露 修复了 2 个高危漏洞。内存释放后重用漏洞,在 pg_query_params 函数中,用于 存储查询参数的 char* 数组未初始化,来自先前请求的延迟值可以被释放,最 终导致远程代码执行;在 php_mysqlnd_change_auth_response_write 函数中, 将用户提交的密码复制到缓冲区时,由于未校验加上 MYSQLND_HEADER_SIZE 的长 度,将发生缓冲区溢出导致远程代码执行,攻击者可以通过架设恶意数据库服务 器来攻击 Adminer、PHPmyAdmin 等 DBMS 工具。 暂未监测到上述漏洞在野利用,POC 已公开,漏洞详情已知。
影响范围:
PHP5 <= 5.6.40
PHP7 < 7.4.30
PHP8 < 8.1.7 || < 8.0.20
安全版本:
PHP5 的维护更新已于 2018 年 12 月 31 日终止
PHP7 >= 7.4.30
PHP8 >= 8.1.7 || >= 8.0.20
云数产品不涉及,未使用该语言。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作