登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们
docurl=/cn/Products___Technology/Products/IP_Security/Security_Research/Home/Notice/Notice/202305/1844469_30003_0.htm

PHP password_verify失效认证漏洞通告(CVE-2023-0567)

【发布时间:2023-05-11】

威胁预警团队

2022/03/06


1. 漏洞综述

1.1 漏洞背景

PHP(全称:PHP:Hypertext Preprocessor,即“超文本预处理器”)是一种开源的计算机脚本语言,适用于Web开发并可嵌入HTML中,password_verify() 函数用于验证密码是否和散列值匹配。近日,新华三攻防实验室威胁预警团队监测到PHP官方发布了安全公告,修复了一个存在于password_verify中的失效认证漏洞(CVE-2023-0567),且漏洞利用代码已公开,攻击者利用该漏洞可导致应用程序允许任何密码都有效。

1.2 漏洞详情

该漏洞是由于PHP中的password_verify()函数存在验证错误导致,恶意攻击者通过构造无效的Blowfish哈希值进行密码验证,将会导致缓冲区异常,并使得任意密码都能通过验证。

2. 影响范围

· 8.1.x <= PHP <=8.1.16

· 8.2.x <= PHP <=8.2.23

· 8.0.x <= PHP <=8.0.28

3. 严重等级

威胁等级

低危

影响程度

广泛

利用价值

中等

利用难度

漏洞评分

5.3

4. 处置方法

4.1 官方补丁

目前官方已修复该漏洞,受影响用户可以升级更新到安全版本。官方下载链接:https://github.com/php/php-src/tags

5. 参考链接

https://bugs.php.net/bug.php?id=81744

https://github.com/php/php-src/security/advisories/GHSA-7fj2-8x79-rjf4

新华三官网
联系我们