| PHP Development Server < 7.4.22 页面 PHP 源码泄露漏洞 | |
|---|---|
| 漏洞级别 | 高 |
| 漏洞编号 | - |
| 漏洞描述 | PHP 是一种开源的通用计算机脚本语言。Development Server 是 PHP 用于应用开发阶段的内置web服务。受影响版本的 PHP Development Server 在解析 PHP 文件时,可能将 PHP 文件作为静态文件展示出来,导致 php 代码泄露。攻击者可通过发送两次请求获取页面 PHP 源码,第一次构造请求将 is_static_file(读取的文件作为静态文件返回) 设置为 1,第二次请求的 PHP 文件将作为静态文件直接输出。 |
| 影响范围 | 1. PHP@(-∞, 7.4.22) |
| 是否有外部利用工具 | 有 |
| 影响广度 | 小 |
| 修复方案 | 1. 将组件 PHP 升级至 7.4.22 及以上版本 |
| 参考链接 | 1. https://www.oscs1024.com/hd/MPS-2023-3101 2. https://github.com/php/php-src/commit/d7db5701a30f0e678f379a05360f8c91f89868ac 3. https://github.com/php/php-src/pull/7207 4. https://blog.projectdiscovery.io/php-http-server-source-disclosure/ |
举报,我们会及时处理。返回顶部
