【安全预警】PHP 远程代码执行(CVE-2024-4577) - PHP CGI 参数注入漏洞

尊敬的客户,您好!


近日西部数码公司安全部门监测到,PHP 远程代码执行漏洞(CVE-2024-4577)正在被大量利用,此漏洞让未经身份认证的远程攻击者可以通过特定的字符序列绕过此前CVE-2012-1823的防护,通过参数注入攻击在远程PHP服务器上执行任意代码,从而导致远程代码执行、敏感信息泄露或造成服务器崩溃。目前该漏洞技术细节已在互联网上公开,鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。


影响范围

影响系统:Windows系统语言为 简体中文,繁体中文,日文

服务模式:Apache+CGI (XAMPP等类似服务套件)、IIS+CGI (旧版本系统使用cgi模式执行php)

受影响PHP版本

PHP 8.3 < 8.3.8

PHP 8.2 < 8.2.20

PHP 8.1 < 8.1.29

PHP 7.*

PHP 5.*


处置建议

1、安全更新

目前官方已有可更新版本,建议受影响用户升级至最新版本:

PHP 8.3 >= 8.3.8

PHP 8.2 >= 8.2.20

PHP 8.1 >= 8.1.29

注:由于 PHP 8.0、PHP 7 和 PHP 5 的分支已终止使用,并且不再维护,服务器管理员可以参考“缓解方案”中的临时补丁建议。

官方下载地址:

https://www.php.net/downloads.php


缓解方案

1.对于无法升级PHP的用户:

a、修改系统语言为非目标语言可缓解此漏洞;

b、通过以下重写规则可用于阻止攻击。

RewriteEngineOn

RewriteCond%{QUERY_STRING} ^%ad [NC]

RewriteRule .? - [F,L]


2. 对于使用 XAMPP for Windows 的用户:

如果确认不需要 PHP CGI 功能,可以通过修改以下 Apache HTTP Server 配置来避免受到该漏洞的影响:

C:/xampp/apache/conf/extra/httpd-xampp.conf

找到相应的行:

ScriptAlias /php-cgi/ "C:/xampp/php/"

并将其注释掉:

# ScriptAlias /php-cgi/ "C:/xampp/php/"


3、迁移至更安全的PHP运行模式

如 Mod-PHP、FastCGI 或 PHP-FPM


其他说明

我们的西部数码云虚拟主机采用fastcgi架构,不受本次漏洞影响。


参考资料

https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argument-injection-vulnerability-en/

https://www.kb.cert.org/vuls/id/520827

https://www.php.net/manual/en/security.cgi-bin.php




西部数码钻石级分销商——爱普互联
2024-06-12