CVE-2024-4577: PHP-CGI参数注入漏洞的概念证明

admin 2024年6月11日16:48:46评论33 views字数 1646阅读5分29秒阅读模式

研究人员披露了一个影响PHP安装的严重漏洞,并提供了概念验证漏洞利用代码,这可能导致远程代码执行。

CVE-2024-4577: PHP-CGI参数注入漏洞的概念证明
CVE-2024-4577: PHP-CGI参数注入漏洞的概念证明

背景

6月6日,PHP的维护者发布了更新,以解决一个影响以CGI模式使用PHP的安装的关键漏洞。作为协调发布的一部分,DEVCORE的研究人员发表了一篇博客文章,分析了漏洞及其影响。

CVE-2024-4577: PHP-CGI参数注入漏洞的概念证明

CVE-2024-4577: PHP-CGI参数注入漏洞的概念证明

分析‍‍‍‍‍‍‍

CVE-2024-4577是PHP中的一个关键参数注入漏洞,可以被利用来实现远程代码执行(RCE)。根据DEVCORE的研究人员的说法,这个漏洞是字符编码转换错误的结果,影响了Windows上的“最佳匹配”功能。

DEVCORE团队概述了两种场景,管理员可以使用它们来确定服务器是否可能受到影响。第一种情况是PHP在启用CGI模式的情况下运行。从PHP提供的文档来看,CGI模式是危险的,可能会使您的服务器面临各种漏洞。

CVE-2024-4577: PHP-CGI参数注入漏洞的概念证明

第二个场景涉及PHP安装,其中PHP二进制文件公开在web可访问的目录中。值得注意的是,根据DEVCORE, XAMPP(一种流行的PHP开发环境)在默认情况下公开PHP二进制文件,这可能会对互联网上的系统产生广泛的影响。

CVE-2024-4577是对CVE-2012-1823的补丁绕过

PHP和DEVCORE都注意到CVE-2024-4577是CVE-2012-1823的补丁绕过。CVE-2012-1823于2012年5月3日在PHP 5.13.12和5.4.2版本中被修补,当时被认为是一个“至少8年未被注意到”的漏洞。该漏洞最初是在2012年捕获标志(CTF)事件期间发现的。虽然原始博客已无法访问,但存档副本详细描述了发现和报告该漏洞的情况。CVE-2012-1823存在各种各样的漏洞利用脚本,自2022年3月25日以来,它一直在美国网络安全和基础设施安全局(CISA)已知利用漏洞(KEV)列表中。

主动扫描正在进行中...

6月7日,Shadowserver基金会在X(以前的Twitter)上发布消息称,他们已经观察到多个IP试图针对他们的蜜罐测试此漏洞。

CVE-2024-4577: PHP-CGI参数注入漏洞的概念证明
CVE-2024-4577: PHP-CGI参数注入漏洞的概念证明

概念验证PoC‍‍‍

6月7日,Watchtower的研究人员在他们的GitHub页面上发布了CVE-2024-4577的概念验证(PoC)脚本。

https://github.com/watchtowrlabs/CVE-2024-4577

CVE-2024-4577: PHP-CGI参数注入漏洞的概念证明

解决方案‍‍‍

PHP 8.1.29、8.2.20和8.3.8版本已于6月6日发布,以解决此漏洞。如果您无法立即打补丁,DEVCORE博客确实提供了一些缓解指导。正如PHP和DEVCORE所指出的那样,CGI模式既不安全又过时,因此建议迁移到“更安全的体系结构”。

CVE-2024-4577: PHP-CGI参数注入漏洞的概念证明

受影响的系统‍‍‍‍

此漏洞的持久插件列表可以在CVE-2024-4577的单个CVE页面上找到。此链接将显示针对此漏洞的所有可用插件,包括我们的插件管道中即将发布的插件。

https://www.tenable.com/cve/CVE-2024-4577/plugins

https://www.tenable.com/plugins/pipeline

CVE-2024-4577: PHP-CGI参数注入漏洞的概念证明

CVE-2024-4577: PHP-CGI参数注入漏洞的概念证明

获取更多信息

  • DEVCORE Blog

https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argument-injection-vulnerability-en/

  • PHP 8.1.29 ChangeLog

https://www.php.net/ChangeLog-8.php#8.1.29

  • PHP 8.2.20 ChangeLog

https://www.php.net/ChangeLog-8.php#8.2.20

  • PHP 8.3.8 ChangeLog

https://www.php.net/ChangeLog-8.php#8.3.8

关注Tenable安全社区,获取最新最快的企业安全资讯!

CVE-2024-4577: PHP-CGI参数注入漏洞的概念证明

原文始发于微信公众号(Tenable安全):CVE-2024-4577: PHP-CGI参数注入漏洞的概念证明

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年6月11日16:48:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CVE-2024-4577: PHP-CGI参数注入漏洞的概念证明https://cn-sec.com/archives/2837407.html

发表评论

匿名网友 填写信息