Se ha reportado una vulnerabilidad de severidad crítica en PHP que afecta a Servidores Windows y que podría explotarse para lograr la ejecución remota de código (RCE) en ciertas circunstancias.
Productos afectados:
-PHP versiones anteriores a 8.3.8
-PHP versiones anteriores 8.2.20
-PHP versiones anteriores 8.1.29
Impacto de la vulnerabilidad:
CVE-2024-4577 (CVSSv3 9.8): vulnerabilidad de inyección de argumentos CGI que afecta a todas las versiones de PHP instaladas en el sistema operativo Windows. Si el sistema está configurado para usar ciertas páginas de código, Windows puede usar el comportamiento «Best-Fit» para reemplazar los caracteres en la línea de comandos que se proporcionan a las funciones de la API de Win32. El módulo PHP CGI podría malinterpretar esos caracteres como opciones de PHP, lo que podría permitir que un actor malicioso pase opciones al binario de PHP que se está ejecutando y, por lo tanto, revelar el código fuente de los scripts, ejecutar código PHP arbitrario en el servidor, etc.
Recomendación:
Se recomienda actualizar a la última versión disponible de los productos afectados desde la página oficial de la misma.
Referencia:
- https://thehackernews.com/2024/06/new-php-vulnerability-exposes-windows.html
- https://nvd.nist.gov/vuln/detail/CVE-2024-4577
- https://www.incibe.es/incibe-cert/alerta-temprana/avisos/inyeccion-de-codigo-php-cgi
- https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argument-injection-vulnerability-en/