關(guān)于PHP輸入驗證安全漏洞的公告
2018-05-04 18:06:44
2018年5月4日,金山云安全應急響應中心監(jiān)控到國家信息安全漏洞庫(CNNVD)收到關(guān)于PHP輸入驗證安全漏洞(CNNVD-201805-054�����、CVE-2018-10547)情況的報送�。成功利用漏洞的攻擊者,可在用戶不知情的情況下�,在該用戶瀏覽器中執(zhí)行任意代碼。PHP 5.6.36之前的版本�,7.0.27之前的7.0.x版本,7.1.13之前的7.1.x版本���,7.2.1之前的7.2.x等版本均受漏洞影響����。目前,PHP官方已經(jīng)發(fā)布新版本修復了該漏洞�,建議用戶及時確認是否受到漏洞影響,盡快采取修補措施���。
漏洞名稱
PHP輸入驗證安全漏洞
漏洞編號
CNNVD-201805-054、CVE-2018-10547
漏洞危害等級
中危
漏洞描述
PHP中的PHAR 404和PHAR 403錯誤頁面存在輸入驗證安全漏洞��,該漏洞源于程序沒有過濾用戶的輸入��,通過URI地址訪問PHAR程序觸發(fā)404或403錯誤后���,可以執(zhí)行反射性跨站腳本攻擊�,進而通過用瀏覽器���,執(zhí)行任意代碼����。
影響版本
PHP 5.6.36之前的版本
PHP 7.0.27之前的7.0.x版本
PHP 7.1.13之前的7.1.x版本
PHP 7.2.1之前的7.2.x版本
修復方案
目前���,PHP官方已經(jīng)發(fā)布新版本修復了該漏洞���,建議用戶及時確認是否受到漏洞影響��,盡快采取修補措施��。具體措施如下:
建議所有PHP5.6用戶更新到5.6.36�����、PHP7.0用戶更新到7.0.30�、PHP7.1用戶更新到7.1.17�����、PHP7.2用戶更新到7.2.5��。
PHP官方更新地址:http://www.php.net/downloads.php
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2018/05/04