聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
CVE-2024-9026是位于PHP-FPM 中的日志篡改漏洞,可导致PHP-FPM 中的日志遭操纵,从而导致攻击者插入过多字符或者从日志条目中删除最多4个字符,阻碍事件响应和取证调查。
CVE-2024-8927 是 cgi.force_redirect 配置绕过漏洞。攻击者可利用该漏洞绕过由 cgi.force_redirect 配置施加的限制条件,在一定配置下可导致任意文件包含,从而导致敏感数据被攻陷以及未授权访问。
CVE-2024-8926是PHP CGI 参数注入漏洞。该漏洞是在非标准 Windows codepage 配置下对此前修复方案 (CVE-2024-4577) 的绕过。虽然在真实环境中可能不会发生,但说明了修复甚至看似危害很小的漏洞的重要性。
CVE-2024-8925是对 multipart form 数据的错误解析漏洞,可导致合法数据不被处理,违反数据完整性。攻击者可利用该漏洞在某些情况下将合法数据排除在外。
受影响版本如下:
PHP 8.1.30之前
PHP 8.2.24之前
PHP 8.3.12之前
已打补丁版本如下:
PHP 8.1.30
PHP 8.2.24
PHP 8.3.12
将PHP版本尽快更新至最新已打补丁版本十分重要。这些漏洞可造成严重后果,如数据泄露、系统攻陷和服务破坏等。
骚操作:为了求职,劫持十几个热门 Packagist PHP 包
https://securityonline.info/multiple-vulnerabilities-discovered-in-php-prompting-urgent-security-updates/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~