Появились подробности о новой критической ошибке безопасности, влияющей на PHP, которая может быть использована для обеспечения удаленного выполнения кода при определенных обстоятельствах.
Уязвимость, отслеживаемая как CVE-2024-4577, была описана как уязвимость внедрения аргумента CGI, затрагивающая все версии PHP, установленные в операционной системе Windows.
По словам исследователя безопасности DEVCORE, этот недостаток позволяет обходить средства защиты, установленные для устранения другого недостатка безопасности, CVE-2012-1823.
"При внедрении PHP команда не заметила наиболее подходящую функцию преобразования кодировки в операционной системе Windows", - сказал исследователь безопасности Оранж Цай.
"Эта ошибка позволяет злоумышленникам, не прошедшим проверку подлинности, обойти предыдущую защиту CVE-2012-1823 с помощью определенных последовательностей символов. Произвольный код может быть выполнен на удаленных серверах PHP с помощью атаки с использованием аргумента".
После ответственного раскрытия 7 мая 2024 года исправление уязвимости стало доступно в версиях PHP 8.3.8, 8.2.20 и 8.1.29.
Компания DEVCORE предупредила, что все установки XAMPP в Windows по умолчанию уязвимы при настройке на использование локалей для традиционного китайского, упрощенного китайского или японского языков.
Тайваньская компания также рекомендует администраторам полностью отказаться от устаревшего PHP CGI и выбрать более безопасное решение, такое как Mod-PHP, FastCGI или PHP-FPM.
"Эта уязвимость невероятно проста, но именно это и делает ее интересной", - сказал Цай. "Кто бы мог подумать, что исправление, которое проверялось и доказывало свою безопасность в течение последних 12 лет, можно обойти из-за незначительной функции Windows?"
Фонд Shadowserver Foundation в сообщении, опубликованном на X, сообщил, что он уже обнаружил попытки использования уязвимости на своих серверах honeypot в течение 24 часов после публичного раскрытия.
watchTowr Labs заявила, что смогла разработать эксплойт для CVE-2024-4577 и добиться удаленного выполнения кода, что требует от пользователей быстрого применения последних исправлений.
"Неприятная ошибка с очень простым эксплойтом", - сказала исследователь безопасности Ализ Хаммонд.
"Тем, кто работает в уязвимой конфигурации под одной из затронутых локализаций – китайской (упрощенной или традиционной) или японской – настоятельно рекомендуется сделать это как можно быстрее, поскольку ошибка имеет высокую вероятность массового использования из-за низкой сложности эксплойта".
Уязвимость, отслеживаемая как CVE-2024-4577, была описана как уязвимость внедрения аргумента CGI, затрагивающая все версии PHP, установленные в операционной системе Windows.
По словам исследователя безопасности DEVCORE, этот недостаток позволяет обходить средства защиты, установленные для устранения другого недостатка безопасности, CVE-2012-1823.
"При внедрении PHP команда не заметила наиболее подходящую функцию преобразования кодировки в операционной системе Windows", - сказал исследователь безопасности Оранж Цай.
"Эта ошибка позволяет злоумышленникам, не прошедшим проверку подлинности, обойти предыдущую защиту CVE-2012-1823 с помощью определенных последовательностей символов. Произвольный код может быть выполнен на удаленных серверах PHP с помощью атаки с использованием аргумента".
После ответственного раскрытия 7 мая 2024 года исправление уязвимости стало доступно в версиях PHP 8.3.8, 8.2.20 и 8.1.29.
Компания DEVCORE предупредила, что все установки XAMPP в Windows по умолчанию уязвимы при настройке на использование локалей для традиционного китайского, упрощенного китайского или японского языков.
Тайваньская компания также рекомендует администраторам полностью отказаться от устаревшего PHP CGI и выбрать более безопасное решение, такое как Mod-PHP, FastCGI или PHP-FPM.
"Эта уязвимость невероятно проста, но именно это и делает ее интересной", - сказал Цай. "Кто бы мог подумать, что исправление, которое проверялось и доказывало свою безопасность в течение последних 12 лет, можно обойти из-за незначительной функции Windows?"
Фонд Shadowserver Foundation в сообщении, опубликованном на X, сообщил, что он уже обнаружил попытки использования уязвимости на своих серверах honeypot в течение 24 часов после публичного раскрытия.
watchTowr Labs заявила, что смогла разработать эксплойт для CVE-2024-4577 и добиться удаленного выполнения кода, что требует от пользователей быстрого применения последних исправлений.
"Неприятная ошибка с очень простым эксплойтом", - сказала исследователь безопасности Ализ Хаммонд.
"Тем, кто работает в уязвимой конфигурации под одной из затронутых локализаций – китайской (упрощенной или традиционной) или японской – настоятельно рекомендуется сделать это как можно быстрее, поскольку ошибка имеет высокую вероятность массового использования из-за низкой сложности эксплойта".
