最近，PHP 项目发布安全公告，修复了影响PHP多个版本的多个漏洞。这些漏洞包括潜在的日志篡改、任意文件包含、破坏数据完整性等。强烈建议所有的PHP用户立即将系统更新至最新的修复版本。

主要漏洞及其影响

CVE-2024-9026是位于PHP-FPM 中的日志篡改漏洞，可导致PHP-FPM 中的日志遭操纵，从而导致攻击者插入过多字符或者从日志条目中删除最多4个字符，阻碍事件响应和取证调查。

CVE-2024-8927 是 cgi.force_redirect 配置绕过漏洞。攻击者可利用该漏洞绕过由 cgi.force_redirect 配置施加的限制条件，在一定配置下可导致任意文件包含，从而导致敏感数据被攻陷以及未授权访问。

CVE-2024-8926是PHP CGI 参数注入漏洞。该漏洞是在非标准 Windows codepage 配置下对此前修复方案 (CVE-2024-4577) 的绕过。虽然在真实环境中可能不会发生，但说明了修复甚至看似危害很小的漏洞的重要性。

CVE-2024-8925是对 multipart form 数据的错误解析漏洞，可导致合法数据不被处理，违反数据完整性。攻击者可利用该漏洞在某些情况下将合法数据排除在外。

受影响和已打补丁版本

受影响版本如下：

已打补丁版本如下：

立即修复

将PHP版本尽快更新至最新已打补丁版本十分重要。这些漏洞可造成严重后果，如数据泄露、系统攻陷和服务破坏等。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~