6 月 8 日消息，PHP 項(xiàng)目維護(hù)團(tuán)隊(duì)昨日發(fā)布新補(bǔ)丁，修復(fù)了存在于 PHP for Windows 中的遠(yuǎn)程代碼執(zhí)行（RCE）漏洞，并敦促用戶盡快更新至 6?月 6?日發(fā)布的 8.3.8、8.2.20 以及 8.1.29 版本。

PHP 是一種廣泛使用的開放源碼腳本語言，設(shè)計(jì)用于網(wǎng)絡(luò)開發(fā)，通常在 Windows 和 Linux 服務(wù)器上使用。

Devcore 首席安全研究員 Orange Tsai 于 2024 年 5 月 7 日發(fā)現(xiàn)了這個(gè)新的 RCE 漏洞，并將其報(bào)告給了 PHP 開發(fā)人員。

該漏洞追蹤編號(hào)為 CVE-2024-4577，影響到自 5.x 版以來的所有版本，可能對(duì)全球大量服務(wù)器造成影響。

此外 Shadowserver 基金會(huì)發(fā)布公告，表示已經(jīng)檢測(cè)到有黑客正掃描存在該漏洞的服務(wù)器。

ITCVE-2024-4577 漏洞是由于處理字符編碼轉(zhuǎn)換時(shí)的疏忽造成的，在 Windows 上以 CGI 模式使用 PHP，尤其是使用 “Best-Fit”功能的服務(wù)器環(huán)境，比較容易遭到黑客攻擊。

DevCore 的咨詢解釋說：

在實(shí)施 PHP 時(shí)，團(tuán)隊(duì)沒有注意到在 Windows 操作系統(tǒng)內(nèi)進(jìn)行編碼轉(zhuǎn)換的 Best-Fit 功能。

未經(jīng)認(rèn)證的攻擊者利用該漏洞，通過特定字符序列繞過 CVE-2012-1823 先前的保護(hù)。通過參數(shù)注入攻擊，可在遠(yuǎn)程 PHP 服務(wù)器上執(zhí)行任意代碼。

分析人員解釋說，即使 PHP 未配置為 CGI 模式，只要 PHP 可執(zhí)行文件（如 php.exe 或 php-cgi.exe）位于網(wǎng)絡(luò)服務(wù)器可訪問的目錄中，CVE-2024-4577 仍有可能被利用。