漏洞描述:
6月初,PHP 官方发布了多个远程代码执行漏洞安全公告,披露了PHP 远程代码执行漏洞(CVE-2022-31626),由于PHP未检查复制的数据长度和缓冲区长度,导致堆溢出,可能导致远程代码执行。
PHP的mysqlnd拓展中存在堆缓冲区溢出漏洞,利用该漏洞需要攻击者有连接php连接数据库的权限,通过建立恶意MySQL服务器,使受害主机通过mysqlnd主动连接该服务器,触发缓冲区溢出,从而在受害主机上导致拒绝服务或远程执行代码。基于php的数据库管理软件可能受该漏洞影响,如Adminer、 PHPmyAdmin 等工具。
目前,腾讯安全团队监测到该漏洞的POC(概念验证代码)已被公开,该漏洞的风险正在提升。腾讯安全专家建议受影响的客户尽快升级到安全版本。
漏洞编号:
CVE-2022-31626
漏洞等级:
高危,严重级,CVSS评分7.5
漏洞状态:
| 漏洞细节 | POC | EXP | 在野利用 |
|---|---|---|---|
| 已公开 | 已公开 | 未知 | 未知 |
受影响的版本:
PHP 8.1.x < 8.1.7
PHP 8.0.x < 8.0.20
PHP 7.x < 7.4.30
安全版本:
PHP 8.1.x >= 8.1.7
PHP 8.0.x >= 8.0.20
PHP 7.x >= 7.4.30
漏洞修复与缓解方案:
PHP官方已发布补丁修复漏洞,腾讯安全专家建议受影响的用户尽快升级至安全版本:
PHP 8.1.7、PHP 8.0.20、PHP 7.4.30
更早已停止支持的版本,建议用户尽快升级。
腾讯安全解决方案:
- 腾讯T-Sec容器安全产品已支持检测企业容器镜像是否存在PHP 远程代码执行漏洞(CVE-2022-31626);
- 腾讯T-Sec主机安全(云镜)已支持检测企业资产是否存在PHP 远程代码执行漏洞(CVE-2022-31626);
- 腾讯T-Sec高级威胁检测系统(御界)已支持检测利用PHP 远程代码执行漏洞(CVE-2022-31626)的攻击活动;
- 腾讯T-Sec Web应用防火墙(WAF)已支持检测防御利用PHP 远程代码执行漏洞(CVE-2022-31626)的攻击活动;
- 腾讯T-Sec 云防火墙已支持检测阻断利用PHP 远程代码执行漏洞(CVE-2022-31626)的攻击活动。
参考链接:
https://bugs.php.net/bug.php?id=81719
时间线:
6月10日,PHP官方发布漏洞风险通告;
6月24日,腾讯安全监测到漏洞利用POC被公开,腾讯安全全系列产品支持对该漏洞进行检测防御。
