邮发代号 2-786
征订热线:010-82341063
近日,国家信息安全漏洞库(CNNVD)收到关于PHP 操作系统命令注入漏洞(CNNVD-202406-852、CVE-2024-4577)情况的报送。未经身份认证的攻击者可以使用特定的字符序列绕过防护,通过参数注入的方式在目标服务器上远程执行代码。PHP多个版本受该漏洞影响。目前,PHP官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。
PHP是一种在服务器端执行的脚本语言,适用于开发动态网站和Web应用程序。未经身份认证的攻击者可以使用特定的字符序列绕过防护,通过参数注入攻击在目标PHP服务器上远程执行代码,获取敏感信息或造成服务器崩溃。未经身份认证的攻击者可以使用特定的字符序列绕过防护,通过参数注入的方式在目标服务器上远程执行代码。PHP 8.1至8.1.29之前版本,PHP 8.3至8.3.8之前版本,PHP 8.2至8.2.20之前版本均受该漏洞影响。目前,PHP官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。官方更新版本下载链接:https://www.php.net/downloads.php本通报由CNNVD技术支撑单位——奇安信网神信息技术(北京)股份有限公司、浙江极安信息科技有限公司、北京山石网科信息技术有限公司、南京禾盾信息科技有限公司、深圳建安润星安全技术有限公司、天津市兴先道科技有限公司、上海戟安科技有限公司、贵州泰若数字科技有限公司、北京安天网络安全技术有限公司、工业和信息化部电子第五研究所、广州纬安科技有限公司、锐捷网络股份有限公司、深信服科技股份有限公司、北京天融信网络安全技术有限公司、深圳市网安计算机安全检测技术有限公司、新华三技术有限公司、华为技术有限公司、苏州棱镜七彩信息科技有限公司、北京长亭科技有限公司、北京国信城研科学技术研究院、永信至诚科技集团股份有限公司、远江盛邦(北京)网络安全科技股份有限公司、马鞍山书拓安全科技有限公司、北京网藤科技有限公司、北京华云安信息技术有限公司、河南灵创电子科技有限公司、中孚安全技术有限公司、长扬科技(北京)股份有限公司上海斗象信息科技有限公司、北京天防安全科技有限公司、浙江极安信息科技有限公司、建信金融科技有限责任公司安全攻防实验室、杭州默安科技有限公司等技术支撑单位提供支持。CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。分享网络安全知识 强化网络安全意识
欢迎关注《中国信息安全》杂志官方抖音号
文章来源: https://mp.weixin.qq.com/s?__biz=MzA5MzE5MDAzOA==&mid=2664215962&idx=4&sn=666a0faedd648f610e44feeb856cc525&chksm=8b59b763bc2e3e750408576785a12f90a33415639934f3bcdfa1bf3077177d2965cb39781b16&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh