PHP修補CGI參數可被用於注入攻擊的弱點，若不處理攻擊者有可能發動遠端程式碼執行攻擊[轉載自IThome]

文/周峻佑 | 2024-06-07發表

臺灣資安業者戴夫寇爾針對PHP程式語言於6月6日修補的漏洞CVE-2024-4577提出警告，此為重大層級的遠端程式碼執行（RCE）漏洞，存在於CGI參數而有可能被用於注入攻擊。由於全球有近八成網站採用PHP，這項漏洞的影響範圍有可能會非常廣泛。

這項漏洞發生的原因，在於此程式語言在設計時，忽略Windows作業系統對於字元編碼轉換的過程，採取最佳化對應（Best-Fit）的方式進行。攻擊者可在未經身分驗證的情況下，藉由特定字元序列繞過原本因應PHP-CGI查詢字串參數漏洞CVE-2012-1823的防護措施，而有機會藉由參數注入或其他手法，在遠端的PHP伺服器上執行任意程式碼。

值得留意的是，研究人員提及這項漏洞影響所有Windows版本的PHP，PHP目前已發布8.3.8、8.2.20、8.1.29版予以修補，但對於已終止支援的8.0版、7.x、5.x版，戴夫寇爾也公布網站管理員檢查伺服器是否易受攻擊的方法，以及暫時的緩解措施。

研究人員以最常搭配Apache HTTP Server的情境提出說明，他們已確認當Windows作業系統執行正體中文、簡體中文，或是日文的時候，攻擊者就有機會觸發上述漏洞，直接在遠端伺服器執行任意程式碼。

他們也提及2種可被觸發漏洞的情形，其中一種是將PHP設置於CGI模式執行，另一種則是將PHP執行檔曝露於CGI資料夾，即使未透過CGI模式執行PHP，也會曝露相關風險。

由於安裝Windows版XAMPP的預設組態，也將PHP執行檔存放於CGI資料夾，因此他們認為，使用這種套件的Windows主機，也可能受影響。