PHP Debugger Enabled Vulnerability

漏洞信息

漏洞名称: PHP Debugger Enabled Vulnerability

漏洞类型: 配置问题

漏洞等级: 中危

漏洞描述: 该漏洞涉及PHP调试器被意外启用的情况,可能导致敏感调试信息和内部应用细节的暴露。PHP是一种广泛使用的开源脚本语言,特别适合于Web开发并可嵌入HTML中使用。其调试器功能,如Xdebug,通常用于开发阶段帮助开发者诊断和修复代码问题。然而,如果在生产环境中错误地启用了调试功能,攻击者可以利用这一配置问题获取敏感信息,如服务器内部路径、会话数据等。这种信息泄露可能为攻击者提供进一步攻击的跳板,例如利用获取的信息进行代码执行或权限提升。由于此漏洞不需要认证即可利用,且可以通过简单的HTTP请求检测到调试器的存在,因此其风险等级被评估为中危。为了防止此类漏洞,建议在生产环境中严格禁用所有调试功能,并定期检查服务器配置以确保安全性。

产品厂商: PHP

产品名称: PHP Debugger

来源: https://github.com/projectdiscovery/nuclei-templates/blob/fc568482870d070865873ad1bf0004ab012264c8/http%2Fmisconfiguration%2Fphp-debugger-enabled.yaml

类型: projectdiscovery/nuclei-templates:github issues

POC详情

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38

id: php-debugger-enabled

info:
  name: PHP Debugger - Enabled
  author: ProjectDiscoveryAI
  severity: medium
  description: |
    A PHP debugger was detected as enabled on the application, which may expose sensitive debugging information and internal application details.
  reference:
    - https://www.php.net/manual/en/book.xdebug.php
    - https://www.owasp.org/index.php/Testing_for_Debug_Parameters
  metadata:
    max-request: 1
    verified: true
  tags: php,debug,exposure,misconfig

http:
  - method: GET
    path:
      - "{{BaseURL}}"

    matchers-condition: and
    matchers:
      - type: word
        words:
          - "PHP Debugging Console"
          - "Debugger Enabled"
          - "Debug Mode: ON"
          - "PHP Debug Mode Enabled"
          - "Xdebug"
        part: body
        condition: or

      - type: status
        status:
          - 200

Github Poc
#projectdiscovery/nuclei-templates:github issues #配置问题
PHP Debugger Enabled Vulnerability
http://example.com/2025/07/12/github_966258805/
作者
lianccc
发布于
2025年7月12日
许可协议