PHP輸入驗證安全漏洞預警

近日，PHP官方發布PHP中存在一個重要漏洞：CVE-2018-10547

千里百科

PHP（PHP：Hypertext Preprocessor，PHP：超文本預處理器）是一種通用的開源腳本語言，語法吸收了C語言、Java和Perl的特點。PHP的應用範圍相當廣泛，尤其是在網頁程序的開發上。一般來說PHP大多運行在網頁伺服器上，通過運行PHP代碼來產生用戶瀏覽的網頁。PHP可以在多數的伺服器和操作系統上運行。

漏洞描述

CVE-2018-10547漏洞：由於php對於CVE-2018-5712的修補並不全面，phar_do_404()

phar_do_403()兩個方法中依然存在著xss跨站腳本攻擊。攻擊者可以通過URL地址訪問PHAR程序觸發404或403錯誤，進行反射性xss跨站腳本攻擊。

下圖是補丁對比

影響版本

PHP 5.6.36之前的版本，7.0.30之前的7.0.x版本，7.1.17之前的7.1.x版本，7.2.5之前的7.2.x版本。

修復建議

建議使用如下措施避免本次漏洞影響：

使用PHP5.6的用戶建議更新到5.6.36，

使用PHP7.0的用戶建議更新到7.0.30，

使用PHP7.1的用戶建議更新到7.1.17，

使用PHP7.2的用戶建議更新到7.2.5。

參考鏈接

CVE鏈接：

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-10547

官方鏈接：

https://bugs.php.net/bug.php?id=74782

深信服解決方案

深信服安全團隊第一時間關注此漏洞問題動向：

經過漏洞分析，確定此漏洞為反射型xss跨站腳本攻擊漏洞。深信服下一代防火牆可輕鬆防禦此漏洞，建議部署深信服下一代防火牆的用戶開啟WAF模塊，可輕鬆抵禦此高危風險。

信服君總結

本次發現的php漏洞，影響範圍廣泛，由於國內使用php進行web開發的用戶較多，所以，很多用戶可能會受到該漏洞的影響，建議大家儘快升級到php最新版本，以防止因為此漏洞而造成損失。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！