情報処理推進機構 |
情報処理推進機構(IPA)セキュリティセンターとJPCERTコーディネーションセンター(JPCERT/CC)は7月17日、Windows版PHPにおけるOSコマンドインジェクションの脆弱性情報を、JVN(Japan Vulnerability Notes)において公表した。
JVNによると、Windows版PHPにはescapeshellarg関数の処理に起因するOSコマンドインジェクションの脆弱性が存在。細工されたパラメータをescapeshellarg関数に処理させることで、任意のOSコマンドを実行させられる可能性があるという。
IPAらは、開発者が提供する情報をもとに、パッチを適用するよう注意を呼びかけている。