漏洞信息
# filter_var (FILTER_VALIDATE_URL)中的过滤绕过漏洞
## 概述
PHP中的一些过滤函数(如 `filter_var`)在验证URL时存在逻辑错误,导致某些类型的URL中的用户名和密码部分被视为有效信息。这可能导致下游代码接受并错误解析这些无效的URL。
## 影响版本
- 8.1.* 之前版本到 8.1.29
- 8.2.* 之前版本到 8.2.20
- 8.3.* 之前版本到 8.3.8
## 细节
- 该漏洞存在于处理URL验证功能(`FILTER_VALIDATE_URL`)时。
- 当过滤函数验证某些类型的URL时,用户名和密码部分被视为有效信息。
## 影响
- 下游代码可能错误接受并解析这些无效URL,导致潜在的安全和逻辑问题。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Filter bypass in filter_var (FILTER_VALIDATE_URL)
漏洞描述信息
In PHP versions 8.1.* before 8.1.29, 8.2.* before 8.2.20, 8.3.* before 8.3.8, due to a code logic error, filtering functions such as filter_var when validating URLs (FILTER_VALIDATE_URL) for certain types of URLs the function will result in invalid user information (username + password part of URLs) being treated as valid user information. This may lead to the downstream code accepting invalid URLs as valid and parsing them incorrectly.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
漏洞类别
N/A
漏洞标题
PHP 安全漏洞
漏洞描述信息
PHP是一种在服务器端执行的脚本语言。 PHP存在安全漏洞,该漏洞源于代码逻辑错误,过滤函数验证URLs时,对于某些类型的URL,函数会错误地将包含用户名和密码部分的无效用户信息视为有效用户信息。以下版本受到影响:8.1至8.1.29之前版本,8.3至8.3.8之前版本,8.2至8.2.20之前版本。
CVSS信息
N/A
漏洞类别
其他