PHP 是一种广泛利用的开放源码脚本措辞,设计用于网络开拓,常日在 Windows 和 Linux 做事器上利用。
Devcore 首席安全研究员 Orange Tsai 于 2024 年 5 月 7 日创造了这个新的 RCE 漏洞,并将其报告给了 PHP 开拓职员。
IT之家注:该漏洞追踪编号为 CVE-2024-4577,影响到自 5.x 版以来的所有版本,可能对环球大量做事器造成影响。
此外 Shadowserver 基金会发布公告,表示已经检测到有黑客正扫描存在该漏洞的做事器。
ITCVE-2024-4577 漏洞是由于处理字符编码转换时的轻忽造成的,在 Windows 上以 CGI 模式利用 PHP,尤其是利用 “Best-Fit”功能的做事器环境,比较随意马虎遭到黑客攻击。
DevCore 的咨询阐明说:
在履行 PHP 时,团队没有把稳到在 Windows 操作系统内进行编码转换的 Best-Fit 功能。
未经认证的攻击者利用该漏洞,通过特定字符序列绕过 CVE-2012-1823 先前的保护。通过参数注入攻击,可在远程 PHP 做事器上实行任意代码。
剖析职员阐明说,纵然 PHP 未配置为 CGI 模式,只要 PHP 可实行文件(如 php.exe 或 php-cgi.exe)位于网络做事器可访问的目录中,CVE-2024-4577 仍有可能被利用。
