安全公告/【CVE-2022-31625】

基本信息

漏洞名称:PHP 远程代码执行漏洞(CVE-2022-31625)
受影响操作系统:红旗Asianux服务器操作系统 V8
危险等级:高危
影响源码包:php
CVSS评分:8.1
发现日期:2024/9/19
修复日期:2024/10/24
修复版本:

漏洞描述

在 PHP 7.4.x 版本(低于 7.4.30)、8.0.x 版本(低于 8.0.20)和 8.1.x 版本(低于 8.1.7)中,使用 Postgres 数据库扩展时,向参数化查询提供无效参数可能会导致 PHP 尝试使用未初始化的数据作为指针来释放内存。这可能会导致 RCE 漏洞或拒绝服务。

漏洞判定

POC检测原理:检查当前系统中PHP版本是否在受影响版本范围内|POC检测结果:当前主机PHP版本在漏洞版本范围内,相关信息:
PHP 版本: 5.3.3, PHP路径: /usr/bin/php

修复方式

软件包升级
dnf update php

补丁