【漏洞通告】PHP CGI Windows平台远程代码执行漏洞安全风险通告

漏洞背景

近日，嘉诚安全监测到PHP语言组件中存在一个PHP CGI Windows平台远程代码执行漏洞，漏洞编号为：CVE-2024-4577，目前该漏洞的细节及PoC已公开。

PHP是一门通用开源脚本语言，其语法借鉴吸收C、Java和Perl等流行计算机语言的特点，因此利于学习，使用广泛，主要适用于Web开发领域。

鉴于漏洞危害较大，嘉诚安全提醒相关用户尽快更新至安全版本，避免引发漏洞相关的网络安全事件。

漏洞详情

经研判，该漏洞为高危漏洞。PHP语言在设计时忽略了Windows系统内部对字符编码转换的Best-Fit特性，当PHP运行在Window平台且使用了如繁体中文(代码页950)、简体中文(代码页936)和日文(代码页932)等语系时，攻击者可构造恶意请求绕过CVE-2012-1823的防护，通过参数注入等攻击在目标PHP 服务器上远程执行代码。

危害影响

影响范围

PHP 8.3 < 8.3.8

PHP 8.2 < 8.2.20

PHP 8.1 < 8.1.29

注：该漏洞影响安装于Windows系统上的PHP版本。由于PHP8.0分支、PHP7以及PHP5官方已不再维护，网站管理员可查看是否受该漏洞影响并应用相关缓解措施。

处置建议

目前该漏洞已经修复，受影响用户可升级到PHP版本8.3.8、8.2.20、8.1.29或更高版本。

下载链接：

https://github.com/php/php-src/tags

参考链接

https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argument-injection-vulnerability/