English | 蒙文版
 
当前位置: 首页网络安全周安全公告 → 正文
阅读新闻

关于PHP 远程代码执行漏洞的紧急预警

[日期:2022-07-05]

近期,发现PHP 存在远程代码执行漏洞。CVE 编号:CVE-2022-31625CVE-2022-31626

一、 受影响的应用版本:

编号CVE-2022-31625漏洞:5.3.0 <= PHP 5.x <= 5.6.407.0.1 <= PHP 7.x < 7.4.308.0.0 <= PHP 8.0.x < 8.0.208.1.0 <= PHP 8.1.x < 8.1.7

编号CVE-2022-31626漏洞:PHP 8.1.x < 8.1.7PHP 8.0.x < 8.0.20PHP 7.x < 7.4.30

二、 漏洞描述

CVE-2022-31625

pg_query_params()中,由于数组没有被初始化,因此可以释放以前请求中的延迟值,最终可导致远程代码执行。

CVE-2022-31626

由于PHP mysqlnd 拓展中存在堆缓冲区溢出漏洞,拥有php 数据库的连接权限并建立恶意MySQL 服务器的攻击者,通过诱导主机以mysqlnd 主动连接该服务器从而触发缓冲区溢出漏洞,实现远程代码执行。

三、 防范建议

官方已发布安全版本,请及时下载更新,下载地址:Https://www.php.net/downloads.php


PHP 是一种创建动态交互性站点的强有力的服务器端脚本语言。应用范围较广,因此威胁影响范围较大。