开放原始码的PHP广泛受到采用,相关资安弱点非常值得重视,但在前几天我们看到有资安新闻媒体报导3年前被列管的资安漏洞,PHP团队修补的当下却没有。
诡异的是,CVE与NVD在今年才将这项2022年就登记CVE编号的漏洞列入资料库,且由PHP团队提供相关资安风险评估资料,大幅上调这项弱点的危险程度。但为何这么做?无论是CVE、NVD,或是PHP团队,都没有针对这件事情提出说明。
事实上,在PHP开发团队发布新版修补漏洞的时候,就已经针对这项弱点评估风险,根据2023年两年后PHP重新对这项漏洞进行风险评估,并指出其危险程度达到9.1分,原因是攻击者想利用该漏洞并不复杂(AC:L),一旦遭利用,将会严重影响机密性及完整性(C:H、I:H),但不会对于可用性造成影响(A:N)。由于对这些项目的影响程度认定不同,使得PHP团队2年后的评分有显著差异。