6 月 8 日消息，PHP 項目維護團隊昨日發(fā)布新補丁，修復了存在于 PHP for Windows 中的遠程代碼執(zhí)行（RCE）漏洞，并敦促用戶盡快更新至 6?月 6?日發(fā)布的 8.3.8、8.2.20 以及 8.1.29 版本。

PHP 是一種廣泛使用的開放源碼腳本語言，設計用于網絡開發(fā)，通常在 Windows 和 Linux 服務器上使用。

Devcore 首席安全研究員 Orange Tsai 于 2024 年 5 月 7 日發(fā)現了這個新的 RCE 漏洞，并將其報告給了 PHP 開發(fā)人員。

該漏洞追蹤編號為 CVE-2024-4577，影響到自 5.x 版以來的所有版本，可能對全球大量服務器造成影響。

此外 Shadowserver 基金會發(fā)布公告，表示已經檢測到有黑客正掃描存在該漏洞的服務器。

ITCVE-2024-4577 漏洞是由于處理字符編碼轉換時的疏忽造成的，在 Windows 上以 CGI 模式使用 PHP，尤其是使用 “Best-Fit”功能的服務器環(huán)境，比較容易遭到黑客攻擊。

DevCore 的咨詢解釋說：

在實施 PHP 時，團隊沒有注意到在 Windows 操作系統(tǒng)內進行編碼轉換的 Best-Fit 功能。

未經認證的攻擊者利用該漏洞，通過特定字符序列繞過 CVE-2012-1823 先前的保護。通過參數注入攻擊，可在遠程 PHP 服務器上執(zhí)行任意代碼。

分析人員解釋說，即使 PHP 未配置為 CGI 模式，只要 PHP 可執(zhí)行文件（如 php.exe 或 php-cgi.exe）位于網絡服務器可訪問的目錄中，CVE-2024-4577 仍有可能被利用。