近日,国家信息安全漏洞库(CNNVD)收到关于PHP 操作系统命令注入漏洞(CNNVD-202406-852、CVE-2024-4577)情况的报送。未经身份认证的攻击者可以使用特定的字符序列绕过防护,通过参数注入的方式在目标服务器上远程执行代码。PHP多个版本均受该漏洞影响。目前,PHP官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。
一、漏洞介绍
PHP是一种在服务器端执行的脚本语言,适用于开发动态网站和Web应用程序。未经身份认证的攻击者可以使用特定的字符序列绕过防护,通过参数注入攻击在目标PHP服务器上远程执行代码,获取敏感信息或造成服务器崩溃。
二、危害影响
未经身份认证的攻击者可以使用特定的字符序列绕过防护,通过参数注入的方式在目标服务器上远程执行代码。PHP 8.1至8.1.29之前版本,PHP 8.3至8.3.8之前版本,PHP 8.2至8.2.20之前版本均受该漏洞影响。
三、修复建议
目前,PHP官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。官方更新版本下载链接:
https://www.php.net/downloads.php
本通报由CNNVD技术支撑单位——奇安信网神信息技术(北京)股份有限公司、浙江极安信息科技有限公司、北京山石网科信息技术有限公司、南京禾盾信息科技有限公司、深圳建安润星安全技术有限公司、天津市兴先道科技有限公司、上海戟安科技有限公司、贵州泰若数字科技有限公司、北京安天网络安全技术有限公司、工业和信息化部电子第五研究所、广州纬安科技有限公司、锐捷网络股份有限公司、深信服科技股份有限公司、北京天融信网络安全技术有限公司、深圳市网安计算机安全检测技术有限公司、新华三技术有限公司、华为技术有限公司、苏州棱镜七彩信息科技有限公司、北京长亭科技有限公司、北京国信城研科学技术研究院、永信至诚科技集团股份有限公司、远江盛邦(北京)网络安全科技股份有限公司、马鞍山书拓安全科技有限公司、北京网藤科技有限公司、北京华云安信息技术有限公司、河南灵创电子科技有限公司、中孚安全技术有限公司、长扬科技(北京)股份有限公司上海斗象信息科技有限公司、北京天防安全科技有限公司、浙江极安信息科技有限公司、建信金融科技有限责任公司安全攻防实验室、杭州默安科技有限公司等技术支撑单位提供支持。