PHP7出现三个高危0-day漏洞，可允许攻击者完全控制PHP网站。

这三个漏洞出现在PHP7的反序列化机制中，而PHP5的反序列机制也曾曝出漏洞，在过去几年中，黑客利用该漏洞将恶意代码编入客户机cookie并发送，从而入侵了Drupal、Joomla、Magento、vBulletin和PornHub等网站。

漏洞概况

最近，Check Point的exploit研究团队安全人员花费数个月时间，检查PHP7的反序列化机制，并发现了该机制中的“三个新的、此前未知的漏洞”。

虽然此次的漏洞出现在相同机制中，但PHP7中的漏洞与此前PHP5中的并不相同。

三个漏洞编号分别为CVE-2016-7479、CVE-2016-7480和CVE-2016-7478，其利用方式与Check Point八月份详细报道的CVE-2015-6832漏洞类似。

• CVE-2016-7479：释放后使用代码执行
• CVE-2016-7480：使用未初始化值代码执行
• CVE-2016-7478：远程拒绝服务

影响和修复

前两个漏洞如遭利用，将允许攻击者完全控制目标服务器，攻击者可以传播恶意程序、盗取或篡改客户数据等。如果第三个漏洞被利用，则可造成DoS攻击，可使目标网站资源系统耗尽并最终关闭，点击此处查看完整分析报告。

根据Check Point安全研究人员Yannay Livneh的说法，上述三个漏洞都未被黑客利用。Check Point的研究人员已在9月15日和8月6日依次将三个漏洞报给了PHP安全团队。

PHP安全团队已在10月13日和12月1日发布了针对其中两个漏洞的补丁，但还有一个仍未修复。为保证Web服务器安全，用户应将服务器PHP版本升至最新。