【已复现】PHP-CGI存在远程代码执行漏洞(CVE-2024-4577)
【已复现】PHP-CGI存在远程代码执行漏洞(CVE-2024-4577)
安恒研究院 安恒信息CERT 2024-06-07 19:25
|
漏洞概述 |
|||
|
漏洞名称 |
PHP-CGI存在远程代码执行漏洞(CVE-2024-4577) |
||
|
安恒CERT评级 |
1级 |
CVSS3.1评分 |
9.8(安恒自评) |
|
CVE编号 |
CVE-2024-4577 |
CNVD编号 |
未分配 |
|
CNNVD编号 |
未分配 |
安恒CERT编号 |
DM-202405-001058 |
|
POC情况 |
已发现 |
EXP情况 |
未发现 |
|
在野利用 |
未发现 |
研究情况 |
已复现 |
|
危害描述 |
由于 PHP-CGI 实现中输入验证不当,未经身份验证的攻击者可以通过特定的字符序列绕过CVE-2012-1823的防护,远程攻击者可以向应用程序发送特制的 HTTP 请求并在系统上执行任意操作系统命令。 |
||
该产品主要使用客户行业分布广泛,漏洞危害性高,建议客户尽快做好自查及防护。
安恒研究院卫兵实验室已复现此漏洞。
PHP-CGI远程代码执行漏洞(CVE-2024-4577)复现截图
漏洞信息
产品描述
PHP-CGI(Common Gateway Interface)是一种通用的Web服务器接口,允许Web服务器与外部程序(通常是编写在PHP语言中的脚本)进行交互。它为Web开发人员提供了一种灵活的方式来创建动态网页和Web应用程序。
漏洞危害等级:
高危
漏洞类型:
远程代码执行
影响范围
影响版本:
PHP 8.3 < 8.3.8
PHP 8.2 < 8.2.20
PHP 8.1 < 8.1.29
该漏洞影响Windows操作系统上安装的所有PHP版本
安全版本:
PHP 8.3.8
PHP 8.2.20
PHP 8.1.29
CVSS向量
访问途径(AV):网络
攻击复杂度(AC):低
所需权限(PR):无需任何权限
用户交互(UI):不需要用户交互
影响范围 (S):不变
机密性影响 (C):高
完整性影响 (l):高
可用性影响 (A):高
修复方案
官方修复方案:
官方已发布修复方案,受影响的用户建议更新至安全版本。
临时缓解方案:
1、对于无法升级PHP的用户:
以下重写规则可用于阻止攻击。请注意,这些规则仅对繁体中文、简体中文和日语语言环境起到临时缓解作用。在实际操作中,仍然建议更新到修补版本或迁移架构。
RewriteEngine On
RewriteCond %{QUERY_STRING} ^%ad [NC]
RewriteRule .? - [F,L]
2、对于使用 XAMPP for Windows 的用户:
截至本文撰写时,XAMPP 尚未针对此漏洞发布相应的更新文件。如果你确认不需要 PHP CGI 功能,可以通过修改以下 Apache HTTP Server 配置来避免受到该漏洞的影响:
C:/xampp/apache/conf/extra/httpd-xampp.conf
找到相应的行:
ScriptAlias /php-cgi/ "C:/xampp/php/"
并将其注释掉:
# ScriptAlias /php-cgi/ "C:/xampp/php/"
参考资料
https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argument-injection-vulnerability-en/
产品能力覆盖
|
产品名称 |
覆盖补丁包 |
|
AiLPHA大数据平台 |
已支持 |
|
APT攻击预警平台 |
已支持 |
|
明鉴漏洞扫描系统 |
V1.3.1678.1626及以上版本 |
|
WAF |
已支持 |
|
玄武盾 |
已支持 |
技术支持
如有漏洞相关需求支持请联系400-6059-110获取相关能力支撑。