本文共 551 字,大约阅读时间需要 1 分钟。
PHP-CGI 是一种用于在 Web 服务器上运行 PHP 脚本的接口。它通过 CGI(公共网关接口)将 PHP 解释器与 Web 服务器连接,实现了 PHP 与网络环境的互动。
2024 年 6 月,PHP 官方发布了新版本,修复了 PHP-CGI 中一个远程代码执行漏洞。由于该漏洞无前置条件且易于利用,建议所有使用受影响版本的企业尽快升级修复,以确保安全。
PHP 在设计 PHP-CGI 时忽略了 Windows 系统的 Best-Fit 字符转换特性。在特定语言环境(如简体中文 936、繁体中文 950、日文 932 等)下,攻击者可构造特殊查询字符串。这些字符在 URL 解码后可能包含非 ASCII 字符,在 Windows 系统上会被映射为连字符,从而绕过 CVE-2012-1823 和 CVE-2012-2311 的补丁,利用 CGI 模式执行任意 PHP 代码。
该漏洞可能在受影响环境下执行任意 PHP 代码,从而获取操作系统权限。最严重的情况下,可能导致服务器完全接管,敏感数据泄露,或将服务器转化为其他攻击的跳板。
PHP 8.3 是该漏洞的直接影响版本。所有使用该版本的系统均需升级至最新修复版本,以防止潜在的安全风险。
转载地址:http://uktfk.baihongyu.com/