php代码执行漏洞PHP7出现三个高危0-day漏洞可允许攻击者完全控制struts2 远程代码执行漏洞
2022-01-17
PHP7 中的三个高危零日漏洞可让攻击者完全控制 PHP 网站。
这三个漏洞出现在PHP7的反序列化机制中,PHP5的反序列化机制也暴露了漏洞。在过去的几年中,黑客利用该漏洞将恶意代码编程到客户端并发送,从而入侵、、、等网站。
漏洞概述
近日,安全人员研究团队花了数月时间研究 PHP7 的反序列化机制,发现该机制中存在“三个新的、以前未知的漏洞”。
虽然这次的漏洞出现在相同的机制中php代码执行漏洞,但是PHP7中的漏洞与之前PHP5中的漏洞并不相同。
编号为 CVE-2016-7479、CVE-2016-7480 和 CVE-2016-7478 的三个漏洞的利用方式与 8 月份详述的 CVE-2015-6832 漏洞类似。
CVE-2016-7479:发布后使用代码执行
CVE-2016-7480:具有未初始化值的代码执行
CVE-2016-7478:远程拒绝服务
冲击和修复
前两个漏洞如果被利用seo优化,将允许攻击者完全控制目标服务器,允许攻击者传播恶意程序、窃取或篡改客户数据等。如果第三个漏洞被利用,可能会引发DoS攻击,从而导致目标网站资源系统被耗尽并最终关闭。单击此处查看完整的分析报告。
据安全研究人员称,上述三个漏洞都没有被黑客利用。的研究人员。. . 分别于 9 月 15 日和 8 月 6 日向 PHP 安全团队报告了三个漏洞。
PHP 安全团队已于 10 月 13 日和 12 月 1 日发布了针对其中两个漏洞的补丁php代码执行漏洞,但其中一个仍未修复。为确保网页服务器安全网站制作,用户应将服务器 PHP 版本升级至最新版本。
