首页 网站源码
  1. 正文

PHP远程代码执行漏洞(CVE-2022-31626)

【PHP7.4/8.0/8.1漏洞通告】PHP远程代码执行漏洞(CVE-2022-31626)

漏洞概述

CVE   ID CVE-2022-31626 发现时间 2022-06-09 类      型 RCE 等      级 严重 远程利用 是 影响范围 攻击复杂度 低 用户交互 无 PoC/EXP 在野利用

漏洞详情

PHP(Hypertext Preprocessor)即“超文本预处理器”,是一种流行的通用脚本语言,适用于 Web 开发。

2022年6月9日,PHP发布多个更新版本,修复了PHP中2个可导致远程代码执行的漏洞(CVE-2022-31626和CVE-2022-31625),如下:

l  CVE-2022-31626:PHP远程代码执行漏洞

mysqlnd/pdo 存在缓冲区溢出,可利用此漏洞导致远程代码执行,该漏洞的CVSSv3评分为9.8。

l  CVE-2022-31625:PHP远程代码执行漏洞

在pg_query_params()中,由于数组没有被初始化,因此可以释放以前请求中的延迟值,最终可导致远程代码执行。

影响范围

PHP 7.4 < 7.4.30

PHP 8.0 < 8.0.20

PHP 8.1 < 8.1.7

安全建议

目前这些漏洞已经修复,受影响用户可以升级更新到PHP 版本7.4.30、8.0.20或8.1.7。

下载链接:

https://www.php.net/downloads

参考链接

https://www.php.net/ChangeLog-7.php#7.4.30

https://bugs.php.net/bug.php?id=81719

https://bugs.php.net/bug.php?id=81720

版本信息

版本 日期 修改内容 V1.0 2022-06-10 首次发布

本文标题:PHP远程代码执行漏洞(CVE-2022-31626)
本文链接:https://www.qqooo.cn/post/2002.html
版权说明:网站文章均来源于手工整理和网友投稿,若有不妥之处请来信 feelym@88.com 处理,谢谢!