關(guān)于PHP輸入驗(yàn)證安全漏洞的公告
2018-05-04 18:06:44
2018年5月4日����,金山云安全應(yīng)急響應(yīng)中心監(jiān)控到國(guó)家信息安全漏洞庫(kù)(CNNVD)收到關(guān)于PHP輸入驗(yàn)證安全漏洞(CNNVD-201805-054、CVE-2018-10547)情況的報(bào)送����。成功利用漏洞的攻擊者,可在用戶不知情的情況下���,在該用戶瀏覽器中執(zhí)行任意代碼�����。PHP 5.6.36之前的版本����,7.0.27之前的7.0.x版本�,7.1.13之前的7.1.x版本,7.2.1之前的7.2.x等版本均受漏洞影響�。目前,PHP官方已經(jīng)發(fā)布新版本修復(fù)了該漏洞�,建議用戶及時(shí)確認(rèn)是否受到漏洞影響,盡快采取修補(bǔ)措施�。
漏洞名稱
PHP輸入驗(yàn)證安全漏洞
漏洞編號(hào)
CNNVD-201805-054、CVE-2018-10547
漏洞危害等級(jí)
中危
漏洞描述
PHP中的PHAR 404和PHAR 403錯(cuò)誤頁面存在輸入驗(yàn)證安全漏洞�����,該漏洞源于程序沒有過濾用戶的輸入�����,通過URI地址訪問PHAR程序觸發(fā)404或403錯(cuò)誤后�,可以執(zhí)行反射性跨站腳本攻擊,進(jìn)而通過用瀏覽器��,執(zhí)行任意代碼。
影響版本
PHP 5.6.36之前的版本
PHP 7.0.27之前的7.0.x版本
PHP 7.1.13之前的7.1.x版本
PHP 7.2.1之前的7.2.x版本
修復(fù)方案
目前���,PHP官方已經(jīng)發(fā)布新版本修復(fù)了該漏洞�����,建議用戶及時(shí)確認(rèn)是否受到漏洞影響��,盡快采取修補(bǔ)措施�����。具體措施如下:
建議所有PHP5.6用戶更新到5.6.36�����、PHP7.0用戶更新到7.0.30��、PHP7.1用戶更新到7.1.17���、PHP7.2用戶更新到7.2.5。
PHP官方更新地址:http://www.php.net/downloads.php
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2018/05/04