漏洞预警|PHP输入验证可导致XSS安全漏洞

Posted 江苏天网-信息安全专家

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了漏洞预警|PHP输入验证可导致XSS安全漏洞相关的知识,希望对你有一定的参考价值。

近日,国家信息安全漏洞库(CNNVD)收到关于php输入验证安全漏洞(CNNVD-201805-054、CVE-2018-10547 )情况的报送。成功利用漏洞的攻击者,可在用户不知情的情况下,在该用户浏览器中执行任意代码。PHP 5.6.36之前的版本,7.0.27之前的7.0.x版本,7.1.13之前的7.1.x版本,7.2.1之前的7.2.x等版本均受漏洞影响。目前,PHP官方已经发布新版本修复了该漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。


漏洞介绍

PHP是PHP Group和开放源代码社区共同维护的一种开源的通用计算机脚本语言。该语言主要用于Web开发,支持多种数据库及操作系统。



危害影响

利用该漏洞,攻击者可以进行劫持用户浏览器会话、植入传播恶意代码等网络攻击,可能会造成用户账号被盗取、用户隐私泄露等危害。该漏洞涉及了多个版本,PHP 5.6.36之前的版本,7.0.27之前的7.0.x版本,7.1.13之前的7.1.x版本,7.2.1之前的7.2.x版本均受漏洞影响。


修复建议

目前,PHP官方已经发布新版本修复了该漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。具体措施如下:

PHP5.6用户更新到5.6.36

PHP7.0用户更新到7.0.30

PHP7.1用户更新到7.1.17

PHP7.2用户更新到7.2.5



以上是关于漏洞预警|PHP输入验证可导致XSS安全漏洞的主要内容,如果未能解决你的问题,请参考以下文章

中国蚁剑被曝XSS漏洞,可导致远程命令执行

PHP输入验证安全漏洞预警

服务器安全维护 linux系统漏洞可导致被提权

安全预警wordpress插件social warfare存在xss及远程代码执行漏洞

超危Golang XML解析器漏洞可导致SAML身份验证绕过

CVE-2019-4505: WebSphere 任意文件读取漏洞预警