漏洞预警PHP XSS漏洞(CVE-2018-10547)

Posted 维他命安全

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了漏洞预警PHP XSS漏洞(CVE-2018-10547)相关的知识,希望对你有一定的参考价值。




php XSS漏洞(CVE-2018-10547)


01

漏洞描述



中危




首次发布时间: 2018.04.29 

CVE ID:CVE-2018-10547 

PHP bug ID: 76129

CNNVD ID:CNNVD-201805-054

CNVD ID : CNVD-2018-08744




中危




首次发布时间: 2018.01.16 

CVE ID:CVE-2018-5712 

PHP bug ID: 74782

CNNVD ID:CNNVD-201801-586

CNVD ID :CNVD-2018-03157


在多个PHP版本(5.6.36之前的版本、7.0.30之前的7.0.x版本、7.1.17之前的7.1.x版本和7.2.5之前的7.2.x版本)的ext/phar/phar_object.c文件中发现漏洞。通过对.phar文件的请求数据,可在PHAR 403和404错误页面上反射型XSS漏洞。攻击者可利用该漏洞在浏览器中执行任意脚本代码,而不会引起用户的注意。这可能导致基于cookie的身份验证凭据被窃取或发起其它攻击。注意:由于CVE-2018-5712的修复程序不完整而导致的。



02

影响范围

PHP 5.0 prior to 5.6.36

PHP 7.0 prior to 7.0.30

PHP 7.1 prior to 7.1.17

PHP 7.2 prior to 7.2.5


03

修复建议

强烈建议所有PHP 5.6用户更新到5.6.36版本,PHP 7.0用户更新到7.0.30版本,PHP 7.1用户更新到7.1.17版本,PHP 7.2用户更新到7.2.5版本。

04

参考链接

PHP 5.x的修改日志:

http://php.net/ChangeLog-5.php

PHP 7.x的修改日志:

http://php.net/ChangeLog-7.php

PHP官方bug的链接:

https://bugs.php.net/bug.php?id=76129

https://bugs.php.net/bug.php?id=74782

Securityfocus的链接:

https://www.securityfocus.com/bid/104020





声明:本资讯由启明星辰维他命安全小组编译和整理



维他命安全简讯

微信:VitaminSecurity


信息安全那些事儿~

长按二维码关注


以上是关于漏洞预警PHP XSS漏洞(CVE-2018-10547)的主要内容,如果未能解决你的问题,请参考以下文章

安全预警wordpress插件social warfare存在xss及远程代码执行漏洞

漏洞预警MyBB Profile Plugin v1.2中的最后一个用户线程 - 持久XSS通告

漏洞预警:WordPress插件Events Manager 5.8.1.1存在XSS漏洞(CVE-2018-9020)

⼀个通杀绝⼤多数交易平台的 XSS 0day 漏洞

漏洞预警:PHP 7的反序列化机制存在致命安全漏洞

预警Zabbix SQL注入漏洞 威胁预警通告