【行业资讯】PHP Password_verify（）函数存在验证错误漏洞

PHP 语言中的 Password_verify () 是用于验证密码是否和散列值（hash）匹配的函数。

在受影响版本内的 Password_verify () 函数存在验证错误漏洞，如果 BCrypt 散列的 salt 部分包含 $ 字符，将会触发缓冲区过度读取，并会导致将任意密码验证为有效。

如果 BCrypt 存储在数据库中，则导致攻击者可以无密码登录应用程序。

影响范围

php@[8.0.x, 8.0.28)

php@[8.1.x, 8.1.16)

php@[8.2.x, 8.2.3)

修复方案

升级 php 到 8.0.28、8.1.16、8.2.3 或更高版本