PHP CGI Windows下远程代码执行漏洞
- CVE编号: CVE-2024-4577
- 危害定级: 高危
- 漏洞标签: 发布预警 公开漏洞
- 披露日期: 2024-06-07
- 推送原因: 标签更新: [公开漏洞] => [发布预警 公开漏洞]
- 信息来源: https://www.oscs1024.com/hd/MPS-wk9q-5g71
漏洞描述
PHP是一种在服务器端执行的脚本语言。
在 PHP 的 8.3.8 版本之前存在命令执行漏洞,由于 Windows 的 "Best-Fit Mapping" 特性,在处理查询字符串时,非 ASCII 字符可能被错误地映射为破折号(-),导致命令行参数解析错误。
当 php_cgi 运行在 Windows 平台上,且代码页为繁体中文、简体中文或日文时,攻击者可以通过特定的查询字符串注入恶意参数,从而执行任意代码。
修复方案
- 将组件 php 升级至 8.3.8 及以上版本
- 将组件 php 升级至 8.2.20 及以上版本
- 将组件 php 升级至 8.1.29 及以上版本
参考链接
- https://www.oscs1024.com/hd/MPS-wk9q-5g71
- https://github.com/php/php-src/commit/b6d1d3980a664882f03021e9bb918089ed3dc428
- https://nvd.nist.gov/vuln/detail/CVE-2024-4577
- https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argument-injection-vulnerability-en/
- https://www.php.net/ChangeLog-8.php