新的 PHP 漏洞将 Windows 服务器暴露在远程代码执行中

道玄安全 道玄网安驿站 2024-06-09 09:49

“
 新闻”

看到了，关注一下
不吃亏啊，点个赞转发一下啦，WP看不下去的，可以B站搜：标松君
，UP主录的打靶视频，欢迎关注。顺便宣传一下星球：重生者安全，
里面每天会不定期更新OSCP
知识点，车联网
，渗透红队
以及漏洞挖掘工具
等信息分享，欢迎加入；以及想挖SRC逻辑漏洞
的朋友，可以私聊。

01

—

输入法引发的漏洞

关于影响PHP的一个新的关键安全漏洞的详细信息已经浮出水面，该漏洞可能在某些情况下被用来实现远程代码执行。

该漏洞被追踪为CVE-2024-4577，被描述为CGI参数注入漏洞，影响Windows操作系统上安装的所有版本的PHP。

根据DEVCORE安全研究人员的说法，该缺陷使其有可能绕过对另一个安全缺陷CVE-2012-1823的保护。

安全研究员Orange Tsai说：“在实现PHP时，团队没有注意到Windows操作系统中编码转换的最佳匹配功能。”。

“这种疏忽允许未经身份验证的攻击者通过特定的字符序列绕过CVE-2012-1823之前的保护。通过参数注入攻击，可以在远程PHP服务器上执行任意代码。”

在2024年5月7日负责任地披露之后，PHP版本8.3.8、8.2.20和8.1.29中提供了该漏洞的修复程序。

DEVCORE警告称，默认情况下，当配置为使用繁体中文、简体中文或日语的区域设置时，Windows上的所有XAMPP安装都会受到攻击。

这家台湾公司还建议管理员完全放弃过时的PHP CGI，选择更安全的解决方案，如Mod PHP、FastCGI或PHP-FPM。

蔡说：“这个漏洞非常简单，但这也是它有趣的地方。”。“谁能想到，一个在过去12年中经过审查并证明安全的补丁，会因为Windows的一个小功能而被绕过？”

影子服务器基金会在X上分享的一篇帖子中表示，在公开披露后的24小时内，它已经检测到有人试图利用该漏洞攻击其蜜罐服务器。

watchTowr实验室表示，它能够为CVE-2024-4577设计一个漏洞，并实现远程代码执行，这使得用户必须迅速应用最新的补丁。

安全研究员Aliz Hammond说：“这是一个非常简单的漏洞。”。

“我们敦促那些在受影响的配置中运行的用户——中文（简体或繁体）或日语——尽可能快地执行此操作，因为由于漏洞利用的复杂性较低，因此该漏洞被大规模利用的几率很高。”

更多精彩内容请扫码关注“重生者安全”星球

---

免责声明：

本人所有文章均为技术分享，均用于防御为目的的记录，所有操作均在实验环境下进行，请勿用于其他用途，否则后果自负。

第二十七条：任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序和工具；明知他人从事危害网络安全的活动，不得为其提供技术支持、广告推广、支付结算等帮助

第十二条：  国家保护公民、法人和其他组织依法使用网络的权利，促进网络接入普及，提升网络服务水平，为社会提供安全、便利的网络服务，保障网络信息依法有序自由流动。

任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得危害网络安全，不得利用网络从事危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，传播暴力、淫秽色情信息，编造、传播虚假信息扰乱经济秩序和社会秩序，以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。

第十三条：  国家支持研究开发有利于未成年人健康成长的网络产品和服务，依法惩治利用网络从事危害未成年人身心健康的活动，为未成年人提供安全、健康的网络环境。