CVE-2024-11234丨在流上下文中配置代理可能会允许 URI 中的 CRLF 注入

2024年11月25日 160点热度 0人点赞 0条评论

在流上下文中配置代理可能会允许 URI 中的 CRLF 注入（CVE-2024-11234）

CVE编号

CVE-2024-11234

利用情况

暂无

补丁情况

N/A

披露时间

2024-11-24

漏洞描述

在PHP版本8.1.*中，如果使用的是配置了代理和"request_fulluri"选项的流，那么在版本8.1.31之前、8.2.*在8.2.26之前以及8.3.*在8.3.14之前的版本中，URI没有得到适当的清理，这可能导致HTTP请求伪装，并允许攻击者使用代理执行来自服务器的任意HTTP请求，从而可能访问通常不可用的资源给外部用户。

解决建议

"将组件 PHP 升级至 8.3.14 及以上版本"
"将组件 PHP 升级至 8.1.31 及以上版本"
"将组件 PHP 升级至 8.2.26 及以上版本"

参考链接
https://github.com/php/php-src/security/advisories/GHSA-c5f2-jwm7-mmq2

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	系统	alpine_3.20	php83	*		Up to (excluding) 8.3.14-r0
	运行在以下环境
	系统	fedora_40	php	*		Up to (excluding) 8.3.14-1.fc40
	运行在以下环境
	系统	fedora_41	php	*		Up to (excluding) 8.3.14-1.fc41

CVE-2024-11234丨在流上下文中配置代理可能会允许 URI 中的 CRLF 注入

在流上下文中配置代理可能会允许 URI 中的 CRLF 注入（CVE-2024-11234）

漏洞描述

解决建议

参考链接

受影响软件情况

文章评论