站内搜索:
首页 部门概况 信息速递 制度建设 安全专栏 网络服务 党建工作 校内自采 学校首页 下载专区
当前位置: 首页 >> 安全专栏 >> 正文
关于PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)的安全预警
2024-06-09 16:27   审核人:

一、 基本情况

关于PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)的安全预警

二、 漏洞描述

PHP发布安全更新,修复了PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577),目前该漏洞的细节已公开。

PHP语言在设计时忽略了Windows系统内部对字符编码转换的Best-Fit特性,当PHP运行在Window平台且使用了如繁体中文(代码页950)、简体中文(代码页936)和日文(代码页932)等语系时,威胁者可构造恶意请求绕过CVE-2012-1823的保护,通过参数注入等攻击在目标PHP服务器上远程执行代码。

三、 影响范围

PHP 8.3 < 8.3.8

PHP 8.2 < 8.2.20

PHP 8.1 < 8.1.29

注:该漏洞影响安装于Windows系统上的PHP 版本。由于PHP 8.0 分支、PHP 7 以及PHP 5 官方已不再维护,网站管理员可查看是否受该漏洞影响并应用相关缓解措施。

四、 修复建议

目前该漏洞已经修复,受影响用户可升级到PHP版本8.3.88.2.208.1.29或更高版本。


关闭窗口
中共中央网信办 | 河北网信办 | 关于我们 | 联系我们 | 网站地图

版权所有:唐山师范学院信息技术中心

E_mail:xxzx@tstc.edu.cn 地址:河北省唐山市路北区建设北路156号