PHPUnit舊漏洞CVE-2017-9841持續遭大規模濫用30天逾8萬次攻擊
CVE-2017-9841 是 PHPUnit 測試框架中一個已存在超過9年的遠端程式碼執行(RCE)漏洞。VulnCheck 分析報告(2026-05-19)揭示該漏洞在30天內仍有超過80,119次攻擊嘗試,且有加速趨勢。
漏洞詳情
- 漏洞ID: CVE-2017-9841
- CVSS: 9.8(Critical)
- 類型: 遠端程式碼執行(RCE),無需身分驗證
- 影響版本: PHPUnit < 4.8.28 / < 5.6.3
- 攻擊目標:
vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php - CISA KEV收錄: 2022年
持續被利用的原因
- 部署流程疏失: PHPUnit 應列於
require-dev並在正式環境排除,但許多專案未做到 - Web伺服器未封鎖: Apache/Nginx 未限制
vendor/phpunit/路徑的外部存取 - 套件長期未更新: 舊專案維護惰性,未升級相依套件
- 攻擊門檻極低: 多個公開利用工具已流通
攻擊趨勢(2026-05資料)
| 時間區間 | 攻擊次數 |
|---|---|
| 30天合計 | 80,119次 |
| 最近10天 | 36,543次(加速中) |
緩解措施
- 正式部署使用
composer install --no-dev - Web 伺服器規則封鎖
vendor/目錄外部存取 - 盤點對外伺服器,移除暴露的
eval-stdin.php - 升級 PHPUnit 至 4.8.28+ 或 5.6.3+
來源文章
相關頁面
- vulncheck — VulnCheck 分析報告來源