欢迎user
威胁预警团队
2022/03/06
PHP(全称:PHP:Hypertext Preprocessor,即“超文本预处理器”)是一种开源的计算机脚本语言,适用于Web开发并可嵌入HTML中,password_verify() 函数用于验证密码是否和散列值匹配。近日,新华三攻防实验室威胁预警团队监测到PHP官方发布了安全公告,修复了一个存在于password_verify中的失效认证漏洞(CVE-2023-0567),且漏洞利用代码已公开,攻击者利用该漏洞可导致应用程序允许任何密码都有效。
该漏洞是由于PHP中的password_verify()函数存在验证错误导致,恶意攻击者通过构造无效的Blowfish哈希值进行密码验证,将会导致缓冲区异常,并使得任意密码都能通过验证。
· 8.1.x <= PHP <=8.1.16
· 8.2.x <= PHP <=8.2.23
· 8.0.x <= PHP <=8.0.28
威胁等级 | 低危 |
影响程度 | 广泛 |
利用价值 | 中等 |
利用难度 | 低 |
漏洞评分 | 5.3 |
目前官方已修复该漏洞,受影响用户可以升级更新到安全版本。官方下载链接:https://github.com/php/php-src/tags
https://bugs.php.net/bug.php?id=81744
https://github.com/php/php-src/security/advisories/GHSA-7fj2-8x79-rjf4