关于PHP CGI Windows平台远程代码执行漏洞（CVE-2024-4577）的安全预警

一、基本情况

二、漏洞描述

PHP发布安全更新，修复了PHP CGI Windows平台远程代码执行漏洞（CVE-2024-4577），目前该漏洞的细节已公开。

PHP语言在设计时忽略了Windows系统内部对字符编码转换的Best-Fit特性，当PHP运行在Window平台且使用了如繁体中文(代码页950)、简体中文(代码页936)和日文(代码页932)等语系时，威胁者可构造恶意请求绕过CVE-2012-1823的保护，通过参数注入等攻击在目标PHP服务器上远程执行代码。

三、影响范围

PHP 8.3 < 8.3.8

PHP 8.2 < 8.2.20

PHP 8.1 < 8.1.29

注：该漏洞影响安装于Windows系统上的PHP 版本。由于PHP 8.0 分支、PHP 7 以及PHP 5 官方已不再维护，网站管理员可查看是否受该漏洞影响并应用相关缓解措施。

四、修复建议

目前该漏洞已经修复，受影响用户可升级到PHP版本8.3.8、8.2.20、8.1.29或更高版本。

下载链接：

https://github.com/php/php-src/tags

五、参考链接

https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argument-injection-vulnerability/

https://bodhi.fedoraproject.org/updates/FEDORA-2024-52c23ef1ec

https://www.kb.cert.org/vuls/id/520827

https://www.php.net/downloads

网络安全