大工网安告[2023]002

一、情况分析

PHP（全称：PHP：Hypertext Preprocessor，即“超文本预处理器”）是一种开源的计算机脚本语言，适用于Web开发并可嵌入HTML中。PHP Development Server是PHP内置用于在研发阶段快速启动并运行一个可以执行PHP脚本的Web服务器。近日，PHP官方发布安全公告，修复了一个存在于PHP Development Server中的信息泄露漏洞，恶意攻击者利用此漏洞可获取敏感信息。

漏洞详情

漏洞是由于php版本中内置的Development Server解析php文件时导致,未经授权的恶意攻击者可以通过发送特殊的请求直接获取页面php源码。

建议师生更新Windows到最新的安全版本避免遭受攻击利用。

二、影响范围

php< 7.4.21

三、处置建议

目前官方已修复该漏洞，受影响用户可以升级更新到安全版本。官方下载链接：https://www.php.net/

临时解决措施： 严格限制对服务器的访问权限。

参考链接： https://blog.projectdiscovery.io/php-http-server-source-disclosure/