United States Computer Emergency Readiness Team (US-CERT)は10月30日(米国時間)、「Multiple Vulnerabilities in PHP Could Allow for Arbitrary Code Execution」において、米国多州間情報共有・分析センター(MS-ISAC: Multi-State Information Sharing & Analysis Center)がPHPの脆弱性に関するアドバイザリを公開したと伝えた。
これら脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされており注意が必要。公開されたアドバイザリは次のページで閲覧できる。
-
Multiple Vulnerabilities in PHP Could Allow for Arbitrary Code Execution
影響を受けるとされるプロダクトおよびバージョンは次のとおり。
- PHP 7.1.33よりも前の7.1系
- PHP 7.2.24よりも前の7.2系
- PHP 7.3.11よりも前の7.3系
これら脆弱性を突かれると、リモートコード実行が行われる危険性があるとされている。アドバイザリが発行された段階では、この脆弱性を悪用した攻撃は確認されていなかったが、後のアップデートでこれら脆弱性を悪用した攻撃が確認されており注意が必要。
