關于PHP遠程代碼執行漏洞(CVE-2022-31626)的預警提示
一、漏洞詳情
PHP(Hypertext Preprocessor)即“超文本預處理器”,是一種流行的通用腳本語言,適用于Web開發。
近日,PHP發布多個更新版本,修復了PHP中2個可導致遠程代碼執行的漏洞(CVE-2022-31626和CVE-2022-31625),詳情如下:
CVE-2022-31626:在PHP的mysqlnd拓展中存在堆緩沖區溢出漏洞,利用該漏洞需要攻擊者有連接php連接數據庫的權限,通過建立惡意MySQL服務器,使受害主機通過mysqlnd主動連接該服務器,觸發緩沖區溢出,從而在受害主機上導致拒絕服務或遠程執行代碼。
CVE-2022-31625:在PHP_FUNCTION中分配在堆上的的char*數組沒有被清除,如果發生轉換錯誤,將會調用_php_pgsql_free_params()函數,由于數組沒有初始化,導致可以釋放之前請求的值,導致遠程代碼執行。
建議受影響用戶做好資產自查以及預防工作,以免遭受黑客攻擊。
二、影響范圍
PHP 7.4 < 7.4.30
PHP 8.0 < 8.0.20
PHP 8.1 < 8.1.7
三、修復建議
目前這些漏洞已經修復,受影響用戶可以升級更新到PHP 版本7.4.30、8.0.20或8.1.7。
下載鏈接:https://www.php.net/downloads
上一篇:無X-Frame-Options
