關于PHP輸入驗證安全漏洞的公告
2018-05-04 18:06:44
2018年5月4日���,金山云安全應急響應中心監(jiān)控到國家信息安全漏洞庫(CNNVD)收到關于PHP輸入驗證安全漏洞(CNNVD-201805-054���、CVE-2018-10547)情況的報送。成功利用漏洞的攻擊者�,可在用戶不知情的情況下,在該用戶瀏覽器中執(zhí)行任意代碼��。PHP 5.6.36之前的版本���,7.0.27之前的7.0.x版本����,7.1.13之前的7.1.x版本��,7.2.1之前的7.2.x等版本均受漏洞影響�。目前�����,PHP官方已經發(fā)布新版本修復了該漏洞,建議用戶及時確認是否受到漏洞影響�����,盡快采取修補措施����。
漏洞名稱
PHP輸入驗證安全漏洞
漏洞編號
CNNVD-201805-054、CVE-2018-10547
漏洞危害等級
中危
漏洞描述
PHP中的PHAR 404和PHAR 403錯誤頁面存在輸入驗證安全漏洞���,該漏洞源于程序沒有過濾用戶的輸入���,通過URI地址訪問PHAR程序觸發(fā)404或403錯誤后,可以執(zhí)行反射性跨站腳本攻擊��,進而通過用瀏覽器�����,執(zhí)行任意代碼���。
影響版本
PHP 5.6.36之前的版本
PHP 7.0.27之前的7.0.x版本
PHP 7.1.13之前的7.1.x版本
PHP 7.2.1之前的7.2.x版本
修復方案
目前����,PHP官方已經發(fā)布新版本修復了該漏洞,建議用戶及時確認是否受到漏洞影響���,盡快采取修補措施�。具體措施如下:
建議所有PHP5.6用戶更新到5.6.36���、PHP7.0用戶更新到7.0.30��、PHP7.1用戶更新到7.1.17����、PHP7.2用戶更新到7.2.5�。
PHP官方更新地址:http://www.php.net/downloads.php
北京金山云網絡技術有限公司
2018/05/04