開放原始碼的PHP廣泛受到採用,相關資安弱點非常值得重視,但在前幾天我們看到有資安新聞媒體報導3年前被列管的資安漏洞,PHP團隊修補的當下卻鮮少傳出相關訊息。
2月12日通用漏洞揭露(CVE)平臺、美國國家漏洞資料庫(NVD)針對一項2022年列管的PHP漏洞CVE-2022-31631提出警告,並指出這項已在2023年1月修補的弱點相當危險,若是網站及應用程式開發者尚未進行處理,可能會造成相當嚴重的後果。
這項漏洞發生在8.0以上版本的PHP,當時PHP維護團隊發布8.0.27、8.1.15、8.2.2版修補,起因是PHP在使用PDO::quote()的功能為SQLite元件引述使用者提供的資料時,若是內含過長的字串,就有可能導致驅動程式不正確引述資料,產生SQL注入的弱點。
詭異的是,CVE與NVD在今年才將這項2022年就登記CVE編號的漏洞列入資料庫,且由PHP團隊提供相關資安風險評估資料,大幅上調這項弱點的危險程度。但為何這麼做?無論是CVE、NVD,或是PHP團隊,都沒有針對這件事情提出說明。
事實上,在PHP開發團隊發布新版修補漏洞的時候,就已經針對這項弱點評估風險,根據2023年AWS、NetApp、Oracle、Red Hat為旗下有導入PHP元件的產品修補這項弱點,皆將此漏洞評估為5.9分,列中度層級。
兩年後PHP重新對這項漏洞進行風險評估,並指出其危險程度達到9.1分,原因是攻擊者想利用該漏洞並不複雜(AC:L),一旦遭利用,將會嚴重影響機密性及完整性(C:H、I:H),但不會對於可用性造成影響(A:N)。由於對這些項目的影響程度認定不同,使得PHP團隊2年後的評分有顯著差異。
熱門新聞
2025-02-17
2025-02-17
2025-02-17
2024-11-05
2025-02-18
2025-02-18