安全公告编号:CVE-2023-3824

一、 基本情况

PHP是一门通用开源脚本语言，其语法借鉴吸收C、Java和Perl等流行计算机语言的特点，因此利于学习，使用广泛，主要适用于Web开发领域。

二、 漏洞描述

PHP多个受影响版本中，phar_dir_read()中的缓冲区管理不善可能导致缓冲区溢出和过度读取。当加载恶意phar文件时，在读取phar目录项时，长度检查不足可能导致堆栈缓冲区溢出，从而可能导致内存损坏或远程代码执行。

三、 影响范围

8.0.0<= PHP版本< 8.0.30

8.1.0<= PHP版本<8.1.22

8.2.0<= PHP版本<8.2.8

四、 修复建议

目前该漏洞已经修复，受影响用户可升级到以下版本：

PHP 8.0.X版本：>=8.0.30

PHP 8.1.X版本：>=8.1.22

PHP 8.2.X版本：>=8.2.8

下载链接：

https://github.com/php/php-src/tags

五、 参考链接

https://github.com/php/php-src/security/advisories/GHSA-jqcx-ccgc-xwhv

https://nvd.nist.gov/vuln/detail/CVE-2023-3824

https://www.venustech.com.cn/new_type/aqtg/20230825/26140.html