PHP CGI Windows下远程代码执行漏洞

• CVE编号: CVE-2024-4577
• 危害定级: 高危
• 漏洞标签: 发布预警 公开漏洞
• 披露日期: 2024-06-07
• 推送原因: 标签更新: [公开漏洞] => [发布预警 公开漏洞]
• 信息来源: https://www.oscs1024.com/hd/MPS-wk9q-5g71

漏洞描述

PHP是一种在服务器端执行的脚本语言。
在 PHP 的 8.3.8 版本之前存在命令执行漏洞，由于 Windows 的 "Best-Fit Mapping" 特性，在处理查询字符串时，非 ASCII 字符可能被错误地映射为破折号（-），导致命令行参数解析错误。
当 php_cgi 运行在 Windows 平台上，且代码页为繁体中文、简体中文或日文时，攻击者可以通过特定的查询字符串注入恶意参数，从而执行任意代码。

修复方案

1. 将组件 php 升级至 8.3.8 及以上版本
2. 将组件 php 升级至 8.2.20 及以上版本
3. 将组件 php 升级至 8.1.29 及以上版本

参考链接

1. https://www.oscs1024.com/hd/MPS-wk9q-5g71
2. https://github.com/php/php-src/commit/b6d1d3980a664882f03021e9bb918089ed3dc428
3. https://nvd.nist.gov/vuln/detail/CVE-2024-4577
4. https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argument-injection-vulnerability-en/
5. https://www.php.net/ChangeLog-8.php