烽火狼烟丨PHP远程代码执行漏洞(CVE-2022-31625、CVE-2022-31626)风险提示
1、漏洞概述
近日,WebRAY安全服務(wù)產(chǎn)品線監(jiān)測到PHP 官方發(fā)布了關(guān)于PHP存在遠程代碼執(zhí)行漏洞的漏洞通告,漏洞編號分別為:CVE-2022-31625、CVE-2022-31626。其中CVE-2022-31625是由于PHP_FUNCTION中分配在堆上的數(shù)組清除不及時,導(dǎo)致錯誤的再次調(diào)用php_pgsql_free_params()函數(shù)時,可能會使用之前未及時清除的數(shù)組值,從而造成遠程代碼執(zhí)行;CVE-2022-31626則是由于PHP的mysqlnd拓展中存在堆緩沖區(qū)溢出漏洞,擁有php數(shù)據(jù)庫的連接權(quán)限并建立惡意MySQL服務(wù)器的攻擊者,通過誘導(dǎo)主機以mysqlnd主動連接該服務(wù)器從而觸發(fā)緩沖區(qū)溢出漏洞,最終實現(xiàn)遠程代碼執(zhí)行,像是Adminer、 PHPmyAdmin這類基于php的數(shù)據(jù)庫管理軟件均可能受該漏洞影響。由于漏洞危害較大,WebRAY安全服務(wù)產(chǎn)品線建議相關(guān)用戶做好防護并及時做好版本升級工作。
PHP是一個擁有眾多開發(fā)者的開源軟件項目,也是一種在服務(wù)器端執(zhí)行的腳本語言,尤其適用于Web開發(fā)并可嵌入HTML中。PHP同時支持面向?qū)ο蠛兔嫦蜻^程的開發(fā),使用上非常靈活。
WebRAY安全服務(wù)產(chǎn)品線也將持續(xù)關(guān)注該漏洞進展,并及時為您更新該漏洞信息。
2、影響范圍
3、漏洞等級
WebRAY安全服務(wù)產(chǎn)品線風(fēng)險評級:高危
4、修復(fù)建議
官方已發(fā)布安全版本,請及時下載更新。
https://www.php.net/downloads.php
?
總結(jié)
以上是生活随笔為你收集整理的烽火狼烟丨PHP远程代码执行漏洞(CVE-2022-31625、CVE-2022-31626)风险提示的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: linux配置服务器超时退出,Linux
- 下一篇: action中写php函数,WordPr