關(guān)于PHP輸入驗(yàn)證安全漏洞的公告
2018-05-04 18:06:44
2018年5月4日��,金山云安全應(yīng)急響應(yīng)中心監(jiān)控到國(guó)家信息安全漏洞庫(CNNVD)收到關(guān)于PHP輸入驗(yàn)證安全漏洞(CNNVD-201805-054、CVE-2018-10547)情況的報(bào)送�����。成功利用漏洞的攻擊者����,可在用戶不知情的情況下���,在該用戶瀏覽器中執(zhí)行任意代碼�。PHP 5.6.36之前的版本�,7.0.27之前的7.0.x版本,7.1.13之前的7.1.x版本���,7.2.1之前的7.2.x等版本均受漏洞影響����。目前����,PHP官方已經(jīng)發(fā)布新版本修復(fù)了該漏洞,建議用戶及時(shí)確認(rèn)是否受到漏洞影響�����,盡快采取修補(bǔ)措施。
漏洞名稱
PHP輸入驗(yàn)證安全漏洞
漏洞編號(hào)
CNNVD-201805-054�����、CVE-2018-10547
漏洞危害等級(jí)
中危
漏洞描述
PHP中的PHAR 404和PHAR 403錯(cuò)誤頁面存在輸入驗(yàn)證安全漏洞���,該漏洞源于程序沒有過濾用戶的輸入�����,通過URI地址訪問PHAR程序觸發(fā)404或403錯(cuò)誤后����,可以執(zhí)行反射性跨站腳本攻擊���,進(jìn)而通過用瀏覽器�����,執(zhí)行任意代碼�����。
影響版本
PHP 5.6.36之前的版本
PHP 7.0.27之前的7.0.x版本
PHP 7.1.13之前的7.1.x版本
PHP 7.2.1之前的7.2.x版本
修復(fù)方案
目前���,PHP官方已經(jīng)發(fā)布新版本修復(fù)了該漏洞�����,建議用戶及時(shí)確認(rèn)是否受到漏洞影響,盡快采取修補(bǔ)措施��。具體措施如下:
建議所有PHP5.6用戶更新到5.6.36�、PHP7.0用戶更新到7.0.30、PHP7.1用戶更新到7.1.17��、PHP7.2用戶更新到7.2.5���。
PHP官方更新地址:http://www.php.net/downloads.php
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2018/05/04