根据其标题，远程 web 服务器上运行的 PHP 7.0.x 版本低于 7.0.21。因而会受到以下漏洞的影响：- PCRE 库的文件 pcre_jit_compile.c 内的 compile_bracket_matchingpath() 函数中存在越界读取错误。未经身份验证的远程攻击者可利用此问题，通过特制的正则表达，造成链接至库的进程崩溃，导致拒绝服务情况。(CVE-2017-6004) - 在处理特制 GIF 文件时，GD Graphics Library (LibGD) 的文件 gd_gif_in.c 内的 gdImageCreateFromGifCtx() 函数中存在越界读取错误。未经身份验证的远程攻击者可利用此问题，泄露敏感内存内容或造成链接至库的进程崩溃。(CVE-2017-7890) - Oniguruma 的文件 regexec.c 内的 match_at() 函数中存在越界读取错误。未经身份验证的远程攻击者可利用此问题，泄露敏感内存内容或造成链接至库的进程崩溃。(CVE-2017-9224) - 在正则表达编译过程中，Oniguruma 的 next_state_val() 函数中存在越界写入错误。未经身份验证的远程攻击者可利用此问题执行任意代码。(CVE-2017-9226) - Oniguruma 中的文件 utf8.c 内的 mbc_enc_len() 函数中存在越界读取错误。未经身份验证的远程攻击者可利用此问题，泄露内存信息或造成链接至库的进程崩溃。(CVE-2017-9227) - 在正则表达编译过程中，Oniguruma 的 bitset_set_range() 函数中存在越界写入错误。未经身份验证的远程攻击者可利用此问题执行任意代码。(CVE-2017-9228) - 在正则表达编译过程中，Oniguruma 中的文件 regexec.c 内的 left_adjust_char_head() 函数中存在无效指针引用缺陷。未经身份验证的远程攻击者可利用此问题，造成链接至库的进程崩溃，导致拒绝服务情况。(CVE-2017-9229) - 由于返回无记录值 '-1’，OpenSSL 中的文件 crypto/evp/p_seal.c 的 EVP_SealInit() 函数中存在缺陷。未经身份验证的远程攻击者可利用此问题造成不明影响。(CVE-2017-11144) - PHP 中的文件 ext/date/lib/parse_date.c 的 php_parse_date() 函数中存在越界读取错误。未经身份验证的远程攻击者可利用此问题造成拒绝服务情况或泄露内存内容。(CVE-2017-11145) - 由于在解析区域设置时未正确验证用户提供的输入，PHP 的 msgfmt_parse_message() 函数中存在基于堆栈的缓冲区溢出情况。未经身份验证的远程攻击者可利用此问题造成拒绝服务情况或执行任意代码。(CVE-2017-11362) - 由于未正确验证用户提供的输入，PHP 中的 INI 解析 API 内存在单字节溢出情况，尤其是在文件 Zend/zend_ini_parser.c 的 zend_ini_do_op() 函数中。未经身份验证的远程攻击者可利用此问题造成拒绝服务情况或执行任意代码。(CVE-2017-11628) - PHP 中的文件 ext/standard/var_unserializer.re 的 finish_nested_data() 函数中存在越界读取错误。未经身份验证的远程攻击者可利用此问题造成拒绝服务情况或泄露内存内容。(CVE-2017-12933) - PHP 中的文件 ext/standard/var_unserializer.c 的 zval_get_type() 函数中存在释放后使用错误。未经身份验证的远程攻击者可利用此问题执行任意代码。(CVE-2017-12934) 请注意，Nessus 并未针对这些问题进行测试，而仅依赖应用程序自我报告的版本号。

检测

PHP 7.0.x < 7.0.21 多个漏洞

critical Nessus 插件 ID 101526

版本 1.15