3年前列管的PHP重大漏洞突然浮上檯面，若不修補恐讓網站曝露於SQL注入風險[轉載自IThome]

文/周峻佑 | 2025-02-18發表

開放原始碼的PHP廣泛受到採用，相關資安弱點非常值得重視，但在前幾天我們看到有資安新聞媒體報導3年前被列管的資安漏洞，PHP團隊修補的當下卻鮮少傳出相關訊息。

2月12日通用漏洞揭露（CVE）平臺、美國國家漏洞資料庫（NVD）針對一項2022年列管的PHP漏洞CVE-2022-31631提出警告，並指出這項已在2023年1月修補的弱點相當危險，若是網站及應用程式開發者尚未進行處理，可能會造成相當嚴重的後果。

這項漏洞發生在8.0以上版本的PHP，當時PHP維護團隊發布8.0.27、8.1.15、8.2.2版修補，起因是PHP在使用PDO::quote()的功能為SQLite元件引述使用者提供的資料時，若是內含過長的字串，就有可能導致驅動程式不正確引述資料，產生SQL注入的弱點。

詭異的是，CVE與NVD在今年才將這項2022年就登記CVE編號的漏洞列入資料庫，且由PHP團隊提供相關資安風險評估資料，大幅上調這項弱點的危險程度。但為何這麼做？無論是CVE、NVD，或是PHP團隊，都沒有針對這件事情提出說明。

事實上，在PHP開發團隊發布新版修補漏洞的時候，就已經針對這項弱點評估風險，根據2023年AWS、NetApp、Oracle、Red Hat為旗下有導入PHP元件的產品修補這項弱點，皆將此漏洞評估為5.9分，列中度層級。

兩年後PHP重新對這項漏洞進行風險評估，並指出其危險程度達到9.1分，原因是攻擊者想利用該漏洞並不複雜（AC:L），一旦遭利用，將會嚴重影響機密性及完整性（C:H、I:H），但不會對於可用性造成影響（A:N）。由於對這些項目的影響程度認定不同，使得PHP團隊2年後的評分有顯著差異。