-赛博昆仑漏洞安全通告-
PHP CGI Windows 平台远程代码执行漏洞(CVE-2024-4577)的风险通告
漏洞描述
PHP是一种开源的服务器端脚本语言,而PHP CGI是一种通过通用网关接口(CGI)运行PHP脚本的方法,用于处理HTTP请求并生成动态网页内容。
近日,赛博昆仑CERT监测到PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)漏洞情报,未经身份认证的远程攻击者可以通过特定的字符序列绕过此前CVE-2012-1823的防护,通过参数注入攻击在远程PHP服务器上执行任意代码,从而获取服务器权限
漏洞名称
PHP CGI Windows 平台远程代码执行漏洞
漏洞公开编号
CVE-2024-4577
昆仑漏洞库编号
CYKL-2024-007847
漏洞类型
代码执行
公开时间
2024-06-07
漏洞等级
高危
评分
暂无
漏洞所需权限
无权限要求
漏洞利用难度
低
PoC****状态
已公开
EXP****状态
未知
漏洞细节
已公开
在野利用
未知
**影响版本
**
PHP 8.3 < 8.3.8
PHP 8.2 < 8.2.20
PHP 8.1 < 8.1.29
利用条件
运行在windows平台且使用了如下语系(简体中文936/繁体中文950/日文932等)。
在 PHP-CGI 模式下运行 PHP
漏洞复现
目前赛博昆仑CERT已确认漏洞原理,复现截图如下:
修复建议
目前,官方已发布修复建议,建议受影响的用户尽快升级至安全版本。
PHP 8.3 >= 8.3.8
PHP 8.2 >= 8.2.20
PHP 8.1 >= 8.1.29
下载地址:https://www.php.net/downloads.php
临时缓解措施
1. 重写规则拦截url中的%ad
`RewriteEngine On` `RewriteCond %{QUERY_STRING} ^%ad [NC]` `RewriteRule .? - [F,L]`
2. 对于使用 XAMPP for Windows 的用户:
如果确认不需要 PHP CGI 功能,可以通过修改以下 Apache HTTP Server 配置来避免受到该漏洞的影响:C:/xampp/apache/conf/extra/httpd-xampp.conf
找到相应的行:
ScriptAlias /php-cgi/ "C:/xampp/php/"
将其注释掉:
# ScriptAlias /php-cgi/ "C:/xampp/php/"
技术咨询
赛博昆仑支持对用户提供轻量级的检测规则或热补方式,可提供定制化服务适配多种产品及规则,帮助用户进行漏洞检测和修复。
赛博昆仑CERT已开启年订阅服务,付费客户(可申请试用)将获取更多技术详情,并支持适配客户的需求。
联系邮箱:cert@cyberkl.com
公众号:赛博昆仑CERT
参考链接
时间线
2024年06月7日,赛博昆仑CERT公众号发布漏洞风险通告