2018年5月4日，金山云安全应急响应中心监控到国家信息安全漏洞库（CNNVD）收到关于PHP输入验证安全漏洞（CNNVD-201805-054、CVE-2018-10547）情况的报送。成功利用漏洞的攻击者，可在用户不知情的情况下，在该用户浏览器中执行任意代码。PHP 5.6.36之前的版本，7.0.27之前的7.0.x版本，7.1.13之前的7.1.x版本，7.2.1之前的7.2.x等版本均受漏洞影响。目前，PHP官方已经发布新版本修复了该漏洞，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

漏洞名称

    PHP输入验证安全漏洞

漏洞编号

    CNNVD-201805-054、CVE-2018-10547

漏洞危害等级

    中危

漏洞描述

    PHP中的PHAR 404和PHAR 403错误页面存在输入验证安全漏洞，该漏洞源于程序没有过滤用户的输入，通过URI地址访问PHAR程序触发404或403错误后，可以执行反射性跨站脚本攻击，进而通过用浏览器，执行任意代码。

影响版本

     PHP 5.6.36之前的版本

    PHP 7.0.27之前的7.0.x版本

    PHP 7.1.13之前的7.1.x版本

    PHP 7.2.1之前的7.2.x版本 

修复方案

    目前，PHP官方已经发布新版本修复了该漏洞，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。具体措施如下：

    建议所有PHP5.6用户更新到5.6.36、PHP7.0用户更新到7.0.30、PHP7.1用户更新到7.1.17、PHP7.2用户更新到7.2.5。

    PHP官方更新地址：http://www.php.net/downloads.php 

北京金山云网络技术有限公司

2018/05/04