一、 漏洞 CVE-2019-11045 基础信息
漏洞标题
DirectoryIterator 类在遇到空字节后会默默地截断
来源:AIGC 神龙大模型
漏洞描述信息
在PHP版本7.2.x(低于7.2.26),7.3.x(低于7.3.13)和7.4.0中,PHP的DirectoryIterator类接受包含嵌入的\0字节的文件名,并将其视为在该字节处终止。这可能导致安全漏洞,例如在检查代码允许访问的路径的应用程序中。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
DirectoryIterator class silently truncates after a null byte
来源:美国国家漏洞数据库 NVD
漏洞描述信息
In PHP versions 7.2.x below 7.2.26, 7.3.x below 7.3.13 and 7.4.0, PHP DirectoryIterator class accepts filenames with embedded \0 byte and treats them as terminating at that byte. This could lead to security vulnerabilities, e.g. in applications checking paths that the code is allowed to access.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
不恰当的空终结符
来源:美国国家漏洞数据库 NVD
漏洞标题
PHP 注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
PHP(PHP:Hypertext Preprocessor,PHP:超文本预处理器)是PHPGroup和开放源代码社区的共同维护的一种开源的通用计算机脚本语言。该语言主要用于Web开发,支持多种数据库及操作系统。 PHP 7.2.26之前的7.2.x版本、7.3.13之前的7.3.x版本和7.4.0版本中存在注入漏洞,该漏洞源于PHP DirectoryIterator接收带有嵌入字符的文件名,并在该字符处进行截断。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2019-11045 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2019-11045 的情报信息