PHP中存在多个漏洞,速修复
2024-9-30 17:14:13 Author: mp.weixin.qq.com(查看原文) 阅读量:4 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

最近,PHP 项目发布安全公告,修复了影响PHP多个版本的多个漏洞。这些漏洞包括潜在的日志篡改、任意文件包含、破坏数据完整性等。强烈建议所有的PHP用户立即将系统更新至最新的修复版本。
主要漏洞及其影响

CVE-2024-9026是位于PHP-FPM 中的日志篡改漏洞,可导致PHP-FPM 中的日志遭操纵,从而导致攻击者插入过多字符或者从日志条目中删除最多4个字符,阻碍事件响应和取证调查。

CVE-2024-8927 是 cgi.force_redirect 配置绕过漏洞。攻击者可利用该漏洞绕过由 cgi.force_redirect 配置施加的限制条件,在一定配置下可导致任意文件包含,从而导致敏感数据被攻陷以及未授权访问。

CVE-2024-8926是PHP CGI 参数注入漏洞。该漏洞是在非标准 Windows codepage 配置下对此前修复方案 (CVE-2024-4577) 的绕过。虽然在真实环境中可能不会发生,但说明了修复甚至看似危害很小的漏洞的重要性。

CVE-2024-8925是对 multipart form 数据的错误解析漏洞,可导致合法数据不被处理,违反数据完整性。攻击者可利用该漏洞在某些情况下将合法数据排除在外。

受影响和已打补丁版本

受影响版本如下:

  • PHP 8.1.30之前

  • PHP 8.2.24之前

  • PHP 8.3.12之前

已打补丁版本如下:

  • PHP 8.1.30

  • PHP 8.2.24

  • PHP 8.3.12

立即修复

将PHP版本尽快更新至最新已打补丁版本十分重要。这些漏洞可造成严重后果,如数据泄露、系统攻陷和服务破坏等。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

PHPFusion 开源 CMS 中存在严重漏洞

骚操作:为了求职,劫持十几个热门 Packagist PHP 包

PHP包管理器Composer组件 Packagist中存在漏洞,可导致软件供应链攻击

严重的PHP缺陷可导致QNAP NAS 设备遭RCE攻击

PHP修复输入验证代码中的漏洞

原文链接

https://securityonline.info/multiple-vulnerabilities-discovered-in-php-prompting-urgent-security-updates/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247520981&idx=2&sn=804d3895d9a0ec8b221e9c44449e8673&chksm=ea94a3bfdde32aa9f5bdbcd7d9bc4439b09e511516e9c3a98c685f059104336ba92c2d6638a7&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh