臺灣資安業者戴夫寇爾針對PHP程式語言於6月6日修補的漏洞CVE-2024-4577提出警告,此為重大層級的遠端程式碼執行(RCE)漏洞,存在於CGI參數而有可能被用於注入攻擊。由於全球有近八成網站採用PHP,這項漏洞的影響範圍有可能會非常廣泛。
這項漏洞發生的原因,在於此程式語言在設計時,忽略Windows作業系統對於字元編碼轉換的過程,採取最佳化對應(Best-Fit)的方式進行。攻擊者可在未經身分驗證的情況下,藉由特定字元序列繞過原本因應PHP-CGI查詢字串參數漏洞CVE-2012-1823的防護措施,而有機會藉由參數注入或其他手法,在遠端的PHP伺服器上執行任意程式碼。
值得留意的是,研究人員提及這項漏洞影響所有Windows版本的PHP,PHP目前已發布8.3.8、8.2.20、8.1.29版予以修補,但對於已終止支援的8.0版、7.x、5.x版,戴夫寇爾也公布網站管理員檢查伺服器是否易受攻擊的方法,以及暫時的緩解措施。
研究人員以最常搭配Apache HTTP Server的情境提出說明,他們已確認當Windows作業系統執行正體中文、簡體中文,或是日文的時候,攻擊者就有機會觸發上述漏洞,直接在遠端伺服器執行任意程式碼。
他們也提及2種可被觸發漏洞的情形,其中一種是將PHP設置於CGI模式執行,另一種則是將PHP執行檔曝露於CGI資料夾,即使未透過CGI模式執行PHP,也會曝露相關風險。
由於安裝Windows版XAMPP的預設組態,也將PHP執行檔存放於CGI資料夾,因此他們認為,使用這種套件的Windows主機,也可能受影響。
熱門新聞
2024-11-20
2024-12-06
2024-12-03
2024-11-15