一、 漏洞 CVE-2023-49282 基础信息
漏洞标题
已发布的Microsoft Graph包中的测试代码暴露phpinfo()
来源:AIGC 神龙大模型
漏洞描述信息
msgraph-sdk-php 是 Microsoft Graph PHP SDK 的 PHP 库。Microsoft Graph PHP SDK 发布了包含测试代码的包,使得可以从任何可以访问和执行 vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php 文件的应用程序中使用 phpInfo() 函数。phpInfo() 函数暴露系统信息。该漏洞影响 PHP SDK 中的 GetPhpInfo.php 脚本,其中包含对 phpinfo() 函数的调用。该漏洞需要服务器的错误配置存在,以便可以被利用。例如,使 PHP 应用程序的 /vendor 目录 Web accessible。漏洞和服务器错误配置的结合将使攻击者可以创建一个 HTTP 请求,执行 phpinfo() 方法。攻击者然后将能够访问系统信息,如配置、模块和环境变量,并在之后使用 compromised 的秘密访问额外数据。这个问题在版本 1.109.1 和 2.0.0-RC5 中已修复。如果无法立即使用更新的 vendor 包进行部署,您可以尝试以下临时 workarounds:删除 `vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php` 文件,去除对 `/vendor` 目录的访问,或禁用 phpinfo() 函数。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
信息暴露
来源:AIGC 神龙大模型
漏洞标题
Test code in published microsoft-graph package exposes phpinfo()
来源:美国国家漏洞数据库 NVD
漏洞描述信息
msgraph-sdk-php is the Microsoft Graph Library for PHP. The Microsoft Graph PHP SDK published packages which contained test code that enabled the use of the phpInfo() function from any application that could access and execute the file at vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php. The phpInfo function exposes system information. The vulnerability affects the GetPhpInfo.php script of the PHP SDK which contains a call to the phpinfo() function. This vulnerability requires a misconfiguration of the server to be present so it can be exploited. For example, making the PHP application’s /vendor directory web accessible. The combination of the vulnerability and the server misconfiguration would allow an attacker to craft an HTTP request that executes the phpinfo() method. The attacker would then be able to get access to system information like configuration, modules, and environment variables and later on use the compromised secrets to access additional data. This problem has been patched in versions 1.109.1 and 2.0.0-RC5. If an immediate deployment with the updated vendor package is not available, you can perform the following temporary workarounds: delete the `vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php` file, remove access to the `/vendor` directory, or disable the phpinfo function.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
信息暴露
来源:美国国家漏洞数据库 NVD
漏洞标题
Microsoft Graphics Component 信息泄露漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Microsoft Graphics Component是美国微软(Microsoft)公司的图形驱动组件。 Microsoft Graphics Component(msgraph-sdk-php)存在信息泄露漏洞,该漏洞源于允许攻击者制作HTTP请求,能够访问配置、模块和环境变量等系统信息。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
信息泄露
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-49282 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2023-49282 的情报信息