关键信息 漏洞名称 Null byte termination in hostnames 影响版本 < 8.1.33 < 8.2.29 < 8.3.23 < 8.4.10 修复版本 8.1.33 8.2.29 8.3.23 8.4.10 漏洞严重性 Low CVE ID CVE-2023-4730 弱点类型 CWE-918 报告者 mdmins 漏洞描述 不考虑 中的空字节,导致在空字节处终止 。这可能导致服务器端请求伪造(SSRF)。 细节 在调用 时, 直接传递给底层 C 函数调用。 可以包含中间的空字节,但 可以用于防止意外的空终止。 当选择 TCP 工厂时, 被调用,但仍不处理空字节或任何控制字符。 其他与 URL 相关的函数如 使用 类型和 检查,这种差异可以用来触发 SSRF。 PoC 影响 服务器端请求伪造(SSRF) 分类 PHP 通常不将此视为安全问题,因为用户应负责清理输入。然而,这被视为低影响的安全问题,作为对未清理输入用户的预防措施。考虑到补丁简单,也考虑了这一点。