wxvl/doc/2024-10/PHP中存在多个漏洞,速修复.md

5.1 KiB
Raw Blame History

PHP中存在多个漏洞速修复

DO SON 代码卫士 2024-09-30 17:14

 
聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

最近PHP 项目发布安全公告修复了影响PHP多个版本的多个漏洞。这些漏洞包括潜在的日志篡改、任意文件包含、破坏数据完整性等。强烈建议所有的PHP用户立即将系统更新至最新的修复版本。

主要漏洞及其影响

CVE-2024-9026是位于PHP-FPM 中的日志篡改漏洞可导致PHP-FPM 中的日志遭操纵从而导致攻击者插入过多字符或者从日志条目中删除最多4个字符阻碍事件响应和取证调查。

CVE-2024-8927 是 cgi.force_redirect 配置绕过漏洞。攻击者可利用该漏洞绕过由 cgi.force_redirect 配置施加的限制条件,在一定配置下可导致任意文件包含,从而导致敏感数据被攻陷以及未授权访问。

CVE-2024-8926是PHP CGI 参数注入漏洞。该漏洞是在非标准 Windows codepage 配置下对此前修复方案 (CVE-2024-4577) 的绕过。虽然在真实环境中可能不会发生,但说明了修复甚至看似危害很小的漏洞的重要性。

CVE-2024-8925是对 multipart form 数据的错误解析漏洞,可导致合法数据不被处理,违反数据完整性。攻击者可利用该漏洞在某些情况下将合法数据排除在外。

受影响和已打补丁版本

受影响版本如下:

  • PHP 8.1.30之前

  • PHP 8.2.24之前

  • PHP 8.3.12之前

已打补丁版本如下:

  • PHP 8.1.30

  • PHP 8.2.24

  • PHP 8.3.12

立即修复

将PHP版本尽快更新至最新已打补丁版本十分重要。这些漏洞可造成严重后果如数据泄露、系统攻陷和服务破坏等。

代码卫士试用地址:
https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

PHPFusion 开源 CMS 中存在严重漏洞

骚操作:为了求职,劫持十几个热门 Packagist PHP 包

PHP包管理器Composer组件 Packagist中存在漏洞可导致软件供应链攻击

严重的PHP缺陷可导致QNAP NAS 设备遭RCE攻击

PHP修复输入验证代码中的漏洞

原文链接

https://securityonline.info/multiple-vulnerabilities-discovered-in-php-prompting-urgent-security-updates/

题图:
Pexels
 License


本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   

 
觉得不错,就点个 “
在看
” 或 "

” 吧~