php代碼執(zhí)行漏洞PHP7出現(xiàn)三個高危0-day漏洞可允許攻擊者完全控制struts2 遠程代碼執(zhí)行漏洞

2022-01-17

PHP7 中的三個高危零日漏洞可讓攻擊者完全控制 PHP 網站。

這三個漏洞出現(xiàn)在PHP7的反序列化機制中，PHP5的反序列化機制也暴露了漏洞。在過去的幾年中，黑客利用該漏洞將惡意代碼編程到客戶端并發(fā)送，從而入侵、、、等網站。

漏洞概述

近日，安全人員研究團隊花了數(shù)月時間研究 PHP7 的反序列化機制，發(fā)現(xiàn)該機制中存在“三個新的、以前未知的漏洞”。

php代碼執(zhí)行漏洞PHP7出現(xiàn)三個高危0-day漏洞可允許攻擊者完全控制struts2 遠程代碼執(zhí)行漏洞(圖1)

雖然這次的漏洞出現(xiàn)在相同的機制中php代碼執(zhí)行漏洞，但是PHP7中的漏洞與之前PHP5中的漏洞并不相同。

編號為 CVE-2016-7479、CVE-2016-7480 和 CVE-2016-7478 的三個漏洞的利用方式與 8 月份詳述的 CVE-2015-6832 漏洞類似。

CVE-2016-7479：發(fā)布后使用代碼執(zhí)行

CVE-2016-7480：具有未初始化值的代碼執(zhí)行

php代碼執(zhí)行漏洞PHP7出現(xiàn)三個高危0-day漏洞可允許攻擊者完全控制struts2 遠程代碼執(zhí)行漏洞(圖2)

CVE-2016-7478：遠程拒絕服務

沖擊和修復

前兩個漏洞如果被利用seo優(yōu)化，將允許攻擊者完全控制目標服務器，允許攻擊者傳播惡意程序、竊取或篡改客戶數(shù)據等。如果第三個漏洞被利用，可能會引發(fā)DoS攻擊，從而導致目標網站資源系統(tǒng)被耗盡并最終關閉。單擊此處查看完整的分析報告。

據安全研究人員稱，上述三個漏洞都沒有被黑客利用。的研究人員。. . 分別于 9 月 15 日和 8 月 6 日向 PHP 安全團隊報告了三個漏洞。

PHP 安全團隊已于 10 月 13 日和 12 月 1 日發(fā)布了針對其中兩個漏洞的補丁php代碼執(zhí)行漏洞，但其中一個仍未修復。為確保網頁服務器安全網站制作，用戶應將服務器 PHP 版本升級至最新版本。

久久99Se,黄色毛片在线观看,97中文字幕无码,暗交小拗女一区二区三区三,亚洲熟女AV综合一,亚洲图片欧美色图,又大又长又硬又黄视频,黑人又粗又大一级毛片,亚洲三级片免费观看,激情小说图片区亚洲欧美