【复现】PHP CGI Windows 平台远程代码执行漏洞(CVE-2024-4577)的风险通告
【复现】PHP CGI Windows 平台远程代码执行漏洞(CVE-2024-4577)的风险通告
原创 赛博昆仑CERT 赛博昆仑CERT 2024-06-07 18:07
- 赛博昆仑漏洞安全通告-
PHP CGI Windows 平台远程代码执行漏洞(CVE-2024-4577)的风险通告
漏洞描述
PHP是一种开源的服务器端脚本语言,而PHP CGI是一种通过通用网关接口(CGI)运行PHP脚本的方法,用于处理HTTP请求并生成动态网页内容。
近日,赛博昆仑CERT监测到PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)漏洞情报,未经身份认证的远程攻击者可以通过特定的字符序列绕过此前CVE-2012-1823的防护,通过参数注入攻击在远程PHP服务器上执行任意代码,从而获取服务器权限
|
漏洞名称 |
PHP CGI Windows 平台远程代码执行漏洞 |
||
|
漏洞公开编号 |
CVE-2024-4577 |
||
|
昆仑漏洞库编号 |
CYKL-2024-007847 |
||
|
漏洞类型 |
代码执行 |
公开时间 |
2024-06-07 |
|
漏洞等级 |
高危 |
评分 |
暂无 |
|
漏洞所需权限 |
无权限要求 |
漏洞利用难度 |
低 |
|
PoC状态 |
已公开 |
EXP状态 |
未知 |
|
漏洞细节 |
已公开 |
在野利用 |
未知 |
影响版本
PHP 8.3 < 8.3.8
PHP 8.2 < 8.2.20
PHP 8.1 < 8.1.29
利用条件
1. 运行在windows平台且使用了如下语系(简体中文936/繁体中文950/日文932等)。
- 在 PHP-CGI 模式下运行 PHP
漏洞复现
目前赛博昆仑CERT已确认漏洞原理,复现截图如下:
修复建议
目前,官方已发布修复建议,建议受影响的用户尽快升级至安全版本。
PHP 8.3 >= 8.3.8
PHP 8.2 >= 8.2.20
PHP 8.1 >= 8.1.29
下载地址:https://www.php.net/downloads.php
临时缓解措施
- 重写规则拦截url中的%ad
RewriteEngine On
RewriteCond %{QUERY_STRING} ^%ad [NC]
RewriteRule .? - [F,L]
- 对于使用 XAMPP for Windows 的用户:
如果确认不需要 PHP CGI 功能,可以通过修改以下 Apache HTTP Server 配置来避免受到该漏洞的影响:C:/xampp/apache/conf/extra/httpd-xampp.conf
找到相应的行:
ScriptAlias /php-cgi/ "C:/xampp/php/"
将其注释掉:
# ScriptAlias /php-cgi/ "C:/xampp/php/"
技术咨询
赛博昆仑支持对用户提供轻量级的检测规则或热补方式,可提供定制化服务适
配多种产品及规则,帮助用户进行漏洞检测和修复。
赛博昆仑CERT已开启年订阅服务,付费客户(可申请试用)将获取更多技术详情,并支持适配客户的需求。
联系邮箱:[email protected]
公众号:赛博昆仑CERT
参考链接
https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argument-injection-vulnerability-en/
时间线
2024年06月7日,赛博昆仑CERT公众号发布漏洞风险通告