XAMPP Windows PHP-CGI 代码执行漏洞(CVE-2024-4577) | Goby漏洞预警

漏洞描述:

PHP是一种在服务器端执行的脚本语言,在 PHP 的 8.3.8 版本之前存在命令执行漏洞,由于 Windows 的 “Best-Fit Mapping” 特性,在处理查询字符串时,非ASCII字符可能被错误地映射为破折号(-),导致命令行参数解析错误,当 php_cgi 运行在Windows平台上,且代码页为繁体中文、简体中文或日文时,攻击者可以通过特定的查询字符串注入恶意参数,从而执行任意代码。

 

CVSS core: 9.8

 

FOFA查询语句:app=“php-CGI”

 

漏洞危害:攻击者可以通过特定的查询字符串注入恶意参数,从而执行任意代码,以至于接管服务器。

 

危害等级:高

 

影响版本:

PHP 8.3 < 8.3.8 

PHP 8.2 < 8.2.20 

PHP 8.1 < 8.1.29 

其他版本官方已停止维护,可根据实际情况采取相应的措施

 

解决方案

1.更新到PHP官方发布的最新PHP版本:https://www.php.net/downloads 

2.对于无法升级PHP的用户:以下重写规则可用于阻止攻击。需要注意的是,这些规则仅对繁体中文、简体中文和日语语言环境起到临时缓解作用。在实际操作中,仍然建议更新到补丁版本或迁移架构。
RеԝritеEnɡinе On
RеԝritеCоd %{QUERY_STRING} ^%аd [NC]
RеԝritеRulе .? - [F,L] 

3.对于使用 XAMPP fоr Windоԝѕ 的用户:如果确认不需要 PHP CGI 功能,可以通过修改以下 Aрасhе H

TTP Sеrvеr 配置(httpd-xampp.conf )来避免受到该漏洞的影响: 
找到相应的行:ScriptAlias /php-cgi/ "C:/xampp/php/" 
并将其注释掉:# ScriptAlias /php-cgi/ "C:/xampp/php/"

 

此漏洞已可在Goby漏扫/红队版进行扫描验证:🏴󠁧󠁢󠁥󠁮󠁧󠁿

| 点击可下载Goby漏洞扫描工具

| 获取更多最新可验证漏洞

| 关注Goby公众号获取最新漏洞情报

| 公众号发送暗号"加群“可加入Goby社区大家庭,与群内大佬一起交流学习,还可不定期参与社群活动获取免费红队版激活码哦~

posted @ 2024-06-24 11:44  gobysec  阅读(75)  评论(0编辑  收藏  举报