PHP xmlrpc_decode()函数无效的
内存访问漏洞
漏洞编号:
CVE-2019-9020
漏洞背景:
该漏洞是由受影响软件的xmlrpc_decode()函数的不正确输入验证引起的。攻击者可以通过发送提交精心设计的输入的请求来利用此漏洞,以触发目标系统上的无效内存访问条件。成功利用可能导致堆超出读取或释放后读取条件,这可能导致完整的系统损害。
漏洞描述:
要利用此漏洞,攻击者必须发送向目标系统提交恶意输入的请求,从而限制从不受信任的来源限制网络访问的环境中的利用。
影响范围:
PHP6.6.3以下
安全建议:
建议管理员应用适当的更新。
仅允许受信任的用户进行网络访问。
运行防火墙和防病毒应用程序,以最大限度地降低入站和出站威胁的可能性。
可以考虑使用基于IP的访问控制列表(ACL),仅允许受信任的系统访问受影响的系统。
