聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
最近,PHP 项目发布安全公告,修复了影响PHP多个版本的多个漏洞。这些漏洞包括潜在的日志篡改、任意文件包含、破坏数据完整性等。强烈建议所有的PHP用户立即将系统更新至最新的修复版本。
主要漏洞及其影响
CVE-2024-9026是位于PHP-FPM 中的日志篡改漏洞,可导致PHP-FPM 中的日志遭操纵,从而导致攻击者插入过多字符或者从日志条目中删除最多4个字符,阻碍事件响应和取证调查。
CVE-2024-8927 是 cgi.force_redirect 配置绕过漏洞。攻击者可利用该漏洞绕过由 cgi.force_redirect 配置施加的限制条件,在一定配置下可导致任意文件包含,从而导致敏感数据被攻陷以及未授权访问。
CVE-2024-8926是PHP CGI 参数注入漏洞。该漏洞是在非标准 Windows codepage 配置下对此前修复方案 (CVE-2024-4577) 的绕过。虽然在真实环境中可能不会发生,但说明了修复甚至看似危害很小的漏洞的重要性。
CVE-2024-8925是对 multipart form 数据的错误解析漏洞,可导致合法数据不被处理,违反数据完整性。攻击者可利用该漏洞在某些情况下将合法数据排除在外。
受影响和已打补丁版本
受影响版本如下:
PHP 8.1.30之前
PHP 8.2.24之前
PHP 8.3.12之前
已打补丁版本如下:
PHP 8.1.30
PHP 8.2.24
PHP 8.3.12
立即修复
将PHP版本尽快更新至最新已打补丁版本十分重要。这些漏洞可造成严重后果,如数据泄露、系统攻陷和服务破坏等。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
骚操作:为了求职,劫持十几个热门 Packagist PHP 包
PHP包管理器Composer组件 Packagist中存在漏洞,可导致软件供应链攻击
原文链接
https://securityonline.info/multiple-vulnerabilities-discovered-in-php-prompting-urgent-security-updates/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
扫一扫
1078
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
