严重

PHP-CGI 操作系统命令注入漏洞

披露时间：

2024-06-10

更新时间：

2025-03-24

CT 编号

CT-1303325

CVE 编号

CVE-2024-4577

CNVD 编号

N/A

CNNVD 编号

CNNVD-202406-852

原理分类

未授权访问

漏洞评分

9.8

漏洞描述

PHP 在设计时忽略了 Windows 中的 Best-Fit 字符转换特性。当 PHP-CGI 在 Windows 平台上运行并使用特定语系（如简体中文936、繁体中文950、日文932等）时，攻击者可以构造特殊查询字符串。URL 解码后，这些字符串可能包含特定非ASCII字符，这些字符在 Windows 系统上会被映射为连字符，从而绕过 CVE-2012-1823 及 CVE-2012-2311 补丁，构造 cgi 模式的命令行参数，执行任意 PHP 代码。

漏洞危害

可能导致的危害包括但不限于：

完全控制服务器：攻击者可以执行系统命令，获取服务器的完全控制权。
数据泄露：攻击者可以访问、修改或删除服务器上的敏感数据。
网站篡改：攻击者可以修改网站内容，进行钓鱼攻击或其他形式的欺诈。
持久性后门：攻击者可以在服务器上安装后门，以便未来随时访问。
服务中断：攻击者可以通过破坏服务器正常运行来导致服务中断。

修复方法

将 PHP 更新到修复版本：8.3.8、8.2.20 或 8.1.29。
对于无法升级的旧版 PHP（如 8.0、7.x、5.x），通过添加重写规则阻止利用尝试：RewriteEngine On, RewriteCond %{QUERY_STRING} ^%ad [NC], RewriteRule .? - [F,L]。
如果不需要 PHP CGI 功能，注释掉 XAMPP 的 Apache 配置文件 (C:/xampp/apache/conf/extra/httpd-xampp.conf) 中的 ScriptAlias 行：# ScriptAlias /php-cgi/ "C:/xampp/php/"。
参考官方 PHP 下载页面获取最新修复版本：https://www.php.net/downloads。
如果无法立即修补，禁用 PHP-CGI 可执行端点或通过 Web 服务器配置限制对其的访问。
对于 Apache 服务器，确保未明确需要时禁用 mod_cgi 模块，并对 /php-cgi/ 目录应用严格权限。

参考链接

http://www.openwall.com/lists/oss-security/2024/06/07/1

https://arstechnica.com/security/2024/06/php-vulnerability-allows-attackers-to-run-malicious-code-on-windows-servers/

https://avd.aliyun.com/detail/AVD-2024-4577

https://blog.orange.tw/2024/06/cve-2024-4577-yet-another-php-rce.html

https://blog.talosintelligence.com/new-persistent-attacks-japan/

https://cert.be/en/advisory/warning-php-remote-code-execution-patch-immediately

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-4577

https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argument-injection-vulnerability-en/

https://github.com/11whoami99/CVE-2024-4577

https://github.com/php/php-src/security/advisories/GHSA-3qgc-jrrr-25jv

https://github.com/rapid7/metasploit-framework/pull/19247