新的 PHP 漏洞使 Windows 服务器面临远程代码执行风险

有关影响 PHP 的一个新的严重安全漏洞的详细信息已经浮出水面，该漏洞可在特定情况下被利用来实现远程代码执行。

该漏洞编号为CVE-2024-4577，被描述为影响 Windows 操作系统上安装的所有 PHP 版本的 CGI 参数注入漏洞。

DEVCORE 安全研究员称，该漏洞可导致绕过针对另一个安全漏洞CVE-2012-1823设置的保护措施。

安全研究员 Orange Tsai表示：“在实施 PHP 时，团队并没有注意到Windows 操作系统内编码转换的Best-Fit特性。”

“这一疏忽使得未经身份验证的攻击者能够通过特定字符序列绕过 CVE-2012-1823 的先前保护。通过参数注入攻击，可以在远程 PHP 服务器上执行任意代码。”

继 2024 年 5 月 7 日负责任地披露之后， PHP 版本 8.3.8、8.2.20 和 8.1.29中已发布针对该漏洞的修复。

DEVCORE 警告称，当 Windows 上的所有 XAMPP 安装配置为使用繁体中文、简体中文或日语语言环境时，默认情况下都存在漏洞。

这家台湾公司还建议管理员完全放弃过时的 PHP CGI，选择更安全的解决方案，如 Mod-PHP、FastCGI 或 PHP-FPM。

“这个漏洞非常简单，但这也是它有趣的地方，”蔡说。“谁会想到，一个经过 12 年审查并被证明是安全的补丁，会因为 Windows 的一个小功能而被绕过？”

Shadowserver 基金会在 X 上分享的一篇文章中表示，在公开披露后的 24 小时内，它已经检测到针对其蜜罐服务器的涉及该漏洞的利用尝试。

watchTowr Labs 表示，它能够设计出针对 CVE-2024-4577 的漏洞利用并实现远程代码执行，因此用户必须迅速应用最新的补丁。

安全研究员阿利兹·哈蒙德 (Aliz Hammond)表示：“这是一个非常严重的漏洞，但可以利用它很容易地利用它。”

“那些在受影响的语言环境（中文（简体或繁体）或日语）下运行受影响配置的用户请尽快执行此操作，因为该漏洞利用复杂性低，因此很有可能被大规模利用。”