【漏洞通告】PHP Password |
您所在的位置:网站首页 › php漏洞多 › 【漏洞通告】PHP Password |
一、漏洞概述 CVE ID CVE-2023-0567 发现时间 2023-03-06 类 型 验证错误 等 级 高危 远程利用 否 所需权限 无 攻击复杂度 低 用户交互 无 PoC/EXP 已公开 在野利用 否
3月6日,启明星辰VSRC监测到PHP项目发布安全公告,修复了PHP Password_verify()函数中的一个验证错误漏洞(CVE-2023-0567),该漏洞的CVSSv3评分为7.7,目前其漏洞细节及PoC已经公开披露。 Password_verify() 函数用于验证密码是否和散列值(hash)匹配。由于PHP多个版本在Password_verify()中存在验证错误问题,当对于格式错误的BCrypt散列如果在其salt部分中包含$,将触发缓冲区过度读取,并可能导致将任何密码验证为有效。威胁者可以通过将此类无效散列存储在数据库中(如通过SQL注入等),则可能导致无需密码即可登录。 二、影响范围 8.0.x |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |