020-87110228(24小时报障、咨询、投诉热线)

科学计算公共服务平台 |  一卡通服务网站 |  网上营业厅

新闻与通知
关于PHP 远程代码执行漏洞的紧急预警
发布时间: 2022-06-13

    近期,发现PHP 存在远程代码执行漏洞。CVE 编号:CVE-2022-31625CVE-2022-31626

一、            受影响的应用版本:

    编号CVE-2022-31625漏洞:5.3.0 <= PHP 5.x <= 5.6.407.0.1 <= PHP 7.x < 7.4.308.0.0 <= PHP 8.0.x < 8.0.208.1.0 <= PHP 8.1.x < 8.1.7

    编号CVE-2022-31626漏洞:PHP 8.1.x < 8.1.7PHP 8.0.x < 8.0.20PHP 7.x < 7.4.30

二、            漏洞描述

    CVE-2022-31625

    pg_query_params()中,由于数组没有被初始化,因此可以释放以前请求中的延迟值,最终可导致远程代码执行。

    CVE-2022-31626

    由于PHP mysqlnd 拓展中存在堆缓冲区溢出漏洞,拥有php 数据库的连接权限并建立恶意MySQL 服务器的攻击者,通过诱导主机以mysqlnd 主动连接该服务器从而触发缓冲区溢出漏洞,实现远程代码执行。

三、            防范建议

    官方已发布安全版本,请及时下载更新,下载地址:Https://www.php.net/downloads.php


    PHP 是一种创建动态交互性站点的强有力的服务器端脚本语言。应用范围较广,因此威胁影响范围较大。

    请各重点单位高度重视,加强网络安全防护,切实保障网络系统安全稳定运行。