CVE-2024-11233丨使用 convert.quoted-printable-decode 过滤器进行单字节覆盖读取

2024年11月25日 198点热度 0人点赞 0条评论

使用 convert.quoted-printable-decode 过滤器进行单字节覆盖读取 (CVE-2024-11233)

CVE编号

CVE-2024-11233

利用情况

暂无

补丁情况

N/A

披露时间

2024-11-24

漏洞描述

在PHP版本8.1.*中，如果版本低于8.1.31，在8.2.*版本中低于8.2.26，以及在8.3.*版本中低于8.3.14，由于convert.quoted-printable-decode过滤器中的错误，某些数据可能会导致缓冲区多读一个字节。在某些情况下，这可能导致程序崩溃或泄露其他内存区域的内容。

解决建议

"将组件 PHP 升级至 8.3.14 及以上版本"
"将组件 PHP 升级至 8.1.31 及以上版本"
"将组件 PHP 升级至 8.2.26 及以上版本"

参考链接
https://github.com/php/php-src/security/advisories/GHSA-r977-prxv-hc43

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	系统	alpine_3.20	php83	*		Up to (excluding) 8.3.14-r0
	运行在以下环境
	系统	fedora_40	php	*		Up to (excluding) 8.3.14-1.fc40
	运行在以下环境
	系统	fedora_41	php	*		Up to (excluding) 8.3.14-1.fc41

CVE-2024-11233丨使用 convert.quoted-printable-decode 过滤器进行单字节覆盖读取

使用 convert.quoted-printable-decode 过滤器进行单字节覆盖读取 (CVE-2024-11233)

漏洞描述

解决建议

参考链接

受影响软件情况

文章评论