漏洞关键信息 1. 漏洞描述 标题: Error thrown by VirtualRESTService when POST variable starts with '@' 描述: 当POST变量以'@'开头时,VirtualRESTService会抛出错误。这是因为VRS没有将CURLOPT_SAFE_UPLOAD设置为true(在PHP >=5.6.0中默认为true,但在5.6.99-hhvm生产环境中未开启),这会导致curl尝试将 解读为文件上传。 2. 影响版本 类型: CWE-159 CVE ID: CVE-2015-8625 3. 补丁信息 补丁文件: - T118032b.patch - omnibus-v2-REL1_23.patch - omnibus-v3-REL1_24.patch - omnibus-REL1_25.patch - omnibus-master.patch 4. 相关变更 Gerrit变更: - SECURITY: Work around CURL insanity breaking POST parameters that start with '@' - 多个相关的安全相关变更已提交 5. 时间线 创建日期: Nov 6 2015, 9:10 PM 状态: Closed, Resolved 6. 其他 标签: Patch-For-Review, MW-1.25-release, MW-1.24-release... 修复措施: 更新CURLOPT_SAFE_UPLOAD设置,采用补丁文件并调整POST参数处理逻辑。