近期,发现PHP 存在远程代码执行漏洞。CVE 编号:CVE-2022-31625、CVE-2022-31626。
一、 受影响的应用版本:
编号CVE-2022-31625漏洞:5.3.0 <= PHP 5.x <= 5.6.40,7.0.1 <= PHP 7.x < 7.4.30,8.0.0 <= PHP 8.0.x < 8.0.20,8.1.0 <= PHP 8.1.x < 8.1.7
编号CVE-2022-31626漏洞:PHP 8.1.x < 8.1.7,PHP 8.0.x < 8.0.20,PHP 7.x < 7.4.30
二、 漏洞描述
CVE-2022-31625
在pg_query_params()中,由于数组没有被初始化,因此可以释放以前请求中的延迟值,最终可导致远程代码执行。
CVE-2022-31626
由于PHP 的mysqlnd 拓展中存在堆缓冲区溢出漏洞,拥有php 数据库的连接权限并建立恶意MySQL 服务器的攻击者,通过诱导主机以mysqlnd 主动连接该服务器从而触发缓冲区溢出漏洞,实现远程代码执行。
三、 防范建议
官方已发布安全版本,请及时下载更新,下载地址:Https://www.php.net/downloads.php
PHP 是一种创建动态交互性站点的强有力的服务器端脚本语言。应用范围较广,因此威胁影响范围较大。
请各重点单位高度重视,加强网络安全防护,切实保障网络系统安全稳定运行。