2024 年 6 月 7 日
PHP 遠端程式碼執行 (CVE-2024-4577) – PHP CGI 參數注入弱點,請儘速將PHP更新致最新版本。
原文內容如下:
PHP 最新發布的安全更新,修補由 DEVCORE 研究團隊在 5 月 7 日回報的重大 RCE 零時差漏洞 CVE-2024-4577。漏洞影響範圍包含 Windows 作業系統上繁體中文、簡體中文、日文三個語系的所有 PHP 版本。
誰需要注意:
⚠️ 在 Windows 作業系統上使用 PHP 的使用者
⚠️ 安裝 XAMPP for Windows 的使用者,且未更改 XAMPP 預設設定(預設即存在風險)
提醒相關使用者或開發者,應盡快更新至 PHP 官方最新 8.3.8、8.2.20、8.1.29 版本,降低資訊外洩風險。非上述三語系使用情境的使用者,也需全面盤點資產、確認使用情境並將 PHP 更新至最新版本。針對 PHP 官方已不再維護的版本,包含 PHP 8.0 分支、PHP 7、PHP 5。
請參見以下資料,確認是否受影響:
1.PHP 官方更新:https://www.php.net
2.DEVCORE 官方網站 blog:https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argument-injection-vulnerability/