一个新的严重安全漏洞 CVE-2024-4577 被揭露,该漏洞在特定情况下可以被利用来实现远程代码执行,影响 Windows 操作系统上安装的所有 PHP 版本。该漏洞被描述为 CGI 参数注入漏洞,能够绕过针对早期漏洞 CVE-2012-1823 设置的保护措施。
DEVCORE 安全研究员 Orange Tsai 解释道:“在实现 PHP 时,团队忽视了 Windows 操作系统中编码转换的 Best-Fit 特性。这一疏忽允许未经身份验证的攻击者通过特定字符序列绕过 CVE-2012-1823 的保护措施,从而在远程 PHP 服务器上执行任意代码。”
2024 年 5 月 7 日,DEVCORE 负责任地披露了该漏洞。随后,PHP 在版本 8.3.8、8.2.20 和 8.1.29 中发布了针对该漏洞的修复。
DEVCORE 警告称,当 Windows 上的所有 XAMPP 安装配置为使用繁体中文、简体中文或日语语言环境时,默认情况下都存在该漏洞。该公司建议管理员完全弃用过时的 PHP CGI,选择更安全的解决方案,如 Mod-PHP、FastCGI 或 PHP-FPM。
“这个漏洞非常简单,但也正因此显得有趣,”Orange Tsai 说。“谁会想到,一个经过 12 年审查并被认为是安全的补丁,会因为 Windows 的一个小功能而被绕过?”
Shadowserver 基金会在社交媒体 X 上分享文章称,在公开披露后的 24 小时内,他们的蜜罐服务器已经检测到利用该漏洞的尝试。
watchTowr Labs 表示,他们已经设计出针对 CVE-2024-4577 的漏洞利用并实现远程代码执行,因此用户必须迅速应用最新的补丁。安全研究员 Aliz Hammond 强调:“这是一个非常严重的漏洞,利用起来非常容易。那些在受影响的语言环境(中文(简体或繁体)或日文)下使用受影响配置的用户应尽快执行此操作,因为该漏洞的利用复杂性低,很有可能被大规模利用。”