关于PHP远程代码执行漏洞(CVE-2022-31626)的预警提示

时间:2022-06-13 点击数:

一、漏洞详情

PHPHypertext Preprocessor)即超文本预处理器,是一种流行的通用脚本语言,适用于Web开发。

近日,PHP发布多个更新版本,修复了PHP2个可导致远程代码执行的漏洞(CVE-2022-31626CVE-2022-31625),详情如下:

CVE-2022-31626:在PHPmysqlnd拓展中存在堆缓冲区溢出漏洞,利用该漏洞需要攻击者有连接php连接数据库的权限,通过建立恶意MySQL服务器,使受害主机通过mysqlnd主动连接该服务器,触发缓冲区溢出,从而在受害主机上导致拒绝服务或远程执行代码。

CVE-2022-31625:在PHP_FUNCTION中分配在堆上的的char*数组没有被清除,如果发生转换错误,将会调用_php_pgsql_free_params()函数,由于数组没有初始化,导致可以释放之前请求的值,导致远程代码执行。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

PHP 7.4 < 7.4.30

PHP 8.0 < 8.0.20

PHP 8.1 < 8.1.7

三、修复建议

目前这些漏洞已经修复,受影响用户可以升级更新到PHP 版本7.4.308.0.208.1.7

下载链接:https://www.php.net/downloads

Copyright © 2020-2025 center , All Rights Reserved 版权所有:信息网络中心 苏ICP备1234123号-000 技术支持:信息网络中心