2024年6月最麻煩的問題可能就是這個安全性問題了,主要是因為它影響了PHP 5.6.x ~ PHP 7的所有版本,以及PHP 8的部份版本都需要更新。
漏洞描述
PHP 程式語言在設計時忽略 Windows 作業系統內部對字元編碼轉換的 Best-Fit 特性,導致未認證的攻擊者可透過特定的字元序列繞過舊有 CVE-2012-1823 的保護;透過參數注入等攻擊在遠端 PHP 伺服器上執行任意程式碼。
- PHP 8.3 < 8.3.8
- PHP 8.2 < 8.2.20
- PHP 8.1 < 8.1.29
參考來源:資安通報:PHP 遠端程式碼執行 (CVE-2024-4577) – PHP CGI 參數注入弱點 | DEVCORE 戴夫寇爾
