• 我的位置:
  • 首頁
  • -
  • 漏洞預(yù)警
  • -
  • 其他
  • -
    • PHP 多個遠(yuǎn)程執(zhí)行代碼漏洞
    • CNNVD編號:未知
    • 危害等級: 未知
    • CVE編號:未知
    • 漏洞類型: 未知
    • 威脅類型:未知
    • 廠       商:未知
    • 漏洞來源:深信服
    • 發(fā)布時間:2022-06-24
    • 更新時間:2022-06-24

    漏洞簡介

    2022年6月10日,深信服安全團隊監(jiān)測到一則 PHP 官方發(fā)布漏洞通告,共修復(fù)了 2 個安全漏洞,其中包含 2個高危漏洞的信息。

    PHP 遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2022-31626)

    該漏洞源于在 PHP 的 mysqlnd 擴展(MySQL 數(shù)據(jù)庫擴展)中存在緩沖區(qū)溢出的安全問題,攻擊者可利用該漏洞在未授權(quán)情況下,偽造 MySQL 服務(wù)器與目標(biāo)站點連接,最終可獲取服務(wù)器最高權(quán)限。

     

    PHP 遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2022-31625)

    該漏洞源于在 PHP 源碼中存在數(shù)組內(nèi)存未初始化會導(dǎo)致遠(yuǎn)程代碼執(zhí)行的安全問題,攻擊者可利用該漏洞在未授權(quán)情況下,構(gòu)造惡意數(shù)據(jù)執(zhí)行攻擊,最終可獲取服務(wù)器最高權(quán)限。

    漏洞公示

    暫無

    參考網(wǎng)站

    https://bugs.php.net/bug.php?id=81719

    https://bugs.php.net/bug.php?id=81720

    受影響實體

    PHP 是一種開源的通用計算機腳本語言,尤其適用于網(wǎng)絡(luò)開發(fā)并可嵌入 HTML 中使用。使用 PHP 開發(fā)的站點廣泛遍布于全球,因此可能受漏洞影響的資產(chǎn)廣泛分布于世界各地,涉及用戶量較大,導(dǎo)致漏洞影響力很大。

    補丁

    當(dāng)前官方已發(fā)布最新版本,建議受影響的用戶及時更新升級到最新版本。鏈接如下:

    Windows系統(tǒng):

    https://windows.php.net/download

    Linux系統(tǒng):


    主動檢測
    支持對 PHP 遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2022-31626)、PHP 遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2022-31625)的主動檢測,可批量快速檢出業(yè)務(wù)場景中該事件的受影響資產(chǎn)情況,相關(guān)產(chǎn)品如下:

    【深信服云鏡YJ】預(yù)計2022年6月13日發(fā)布解決方案。

    【深信服漏洞評估工具TSS】預(yù)計2022年6月13日發(fā)布解決方案。

    【深信服安全托管服務(wù)MSS】預(yù)計2022年6月13日發(fā)布解決方案。