PHP Development Server < 7.4.22 页面 PHP 源码泄露漏洞
2023-01-30 16:57:02 浏览:917 作者:ttt
PHP Development Server < 7.4.22 页面 PHP 源码泄露漏洞 | |
---|---|
漏洞级别 | 高 |
漏洞编号 | - |
漏洞描述 | PHP 是一种开源的通用计算机脚本语言。Development Server 是 PHP 用于应用开发阶段的内置web服务。受影响版本的 PHP Development Server 在解析 PHP 文件时,可能将 PHP 文件作为静态文件展示出来,导致 php 代码泄露。攻击者可通过发送两次请求获取页面 PHP 源码,第一次构造请求将 is_static_file(读取的文件作为静态文件返回) 设置为 1,第二次请求的 PHP 文件将作为静态文件直接输出。 |
影响范围 | 1. PHP@(-∞, 7.4.22) |
是否有外部利用工具 | 有 |
影响广度 | 小 |
修复方案 | 1. 将组件 PHP 升级至 7.4.22 及以上版本 |
参考链接 | 1. https://www.oscs1024.com/hd/MPS-2023-3101 2. https://github.com/php/php-src/commit/d7db5701a30f0e678f379a05360f8c91f89868ac 3. https://github.com/php/php-src/pull/7207 4. https://blog.projectdiscovery.io/php-http-server-source-disclosure/ |