研究人员披露了一个影响PHP安装的严重漏洞,并提供了概念验证漏洞利用代码,这可能导致远程代码执行。
背景
分析
CVE-2024-4577是PHP中的一个关键参数注入漏洞,可以被利用来实现远程代码执行(RCE)。根据DEVCORE的研究人员的说法,这个漏洞是字符编码转换错误的结果,影响了Windows上的“最佳匹配”功能。
DEVCORE团队概述了两种场景,管理员可以使用它们来确定服务器是否可能受到影响。第一种情况是PHP在启用CGI模式的情况下运行。从PHP提供的文档来看,CGI模式是危险的,可能会使您的服务器面临各种漏洞。
第二个场景涉及PHP安装,其中PHP二进制文件公开在web可访问的目录中。值得注意的是,根据DEVCORE, XAMPP(一种流行的PHP开发环境)在默认情况下公开PHP二进制文件,这可能会对互联网上的系统产生广泛的影响。
CVE-2024-4577是对CVE-2012-1823的补丁绕过
PHP和DEVCORE都注意到CVE-2024-4577是CVE-2012-1823的补丁绕过。CVE-2012-1823于2012年5月3日在PHP 5.13.12和5.4.2版本中被修补,当时被认为是一个“至少8年未被注意到”的漏洞。该漏洞最初是在2012年捕获标志(CTF)事件期间发现的。虽然原始博客已无法访问,但存档副本详细描述了发现和报告该漏洞的情况。CVE-2012-1823存在各种各样的漏洞利用脚本,自2022年3月25日以来,它一直在美国网络安全和基础设施安全局(CISA)已知利用漏洞(KEV)列表中。
主动扫描正在进行中...
6月7日,Shadowserver基金会在X(以前的Twitter)上发布消息称,他们已经观察到多个IP试图针对他们的蜜罐测试此漏洞。
概念验证PoC
6月7日,Watchtower的研究人员在他们的GitHub页面上发布了CVE-2024-4577的概念验证(PoC)脚本。
https://github.com/watchtowrlabs/CVE-2024-4577
解决方案
PHP 8.1.29、8.2.20和8.3.8版本已于6月6日发布,以解决此漏洞。如果您无法立即打补丁,DEVCORE博客确实提供了一些缓解指导。正如PHP和DEVCORE所指出的那样,CGI模式既不安全又过时,因此建议迁移到“更安全的体系结构”。
受影响的系统
此漏洞的持久插件列表可以在CVE-2024-4577的单个CVE页面上找到。此链接将显示针对此漏洞的所有可用插件,包括我们的插件管道中即将发布的插件。
https://www.tenable.com/cve/CVE-2024-4577/plugins
https://www.tenable.com/plugins/pipeline
获取更多信息
-
DEVCORE Blog
https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argument-injection-vulnerability-en/
-
PHP 8.1.29 ChangeLog
https://www.php.net/ChangeLog-8.php#8.1.29
-
PHP 8.2.20 ChangeLog
https://www.php.net/ChangeLog-8.php#8.2.20
-
PHP 8.3.8 ChangeLog
https://www.php.net/ChangeLog-8.php#8.3.8
关注Tenable安全社区,获取最新最快的企业安全资讯!
原文始发于微信公众号(Tenable安全):CVE-2024-4577: PHP-CGI参数注入漏洞的概念证明
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论