Kritische PHP Sicherheitslücke in Windows: Befehlsinjektion möglich

  1. April 2024 – Ein Sicherheitsforscher berichtet auf Github über eine PHP Sicherheitslücke die Windows-Benutzer betrifft. Die Schwachstelle ermöglicht eine Befehlsinjektion durch speziell gestaltete Argumente in der Funktion proc_open, selbst wenn die Option “bypass_shell” aktiviert ist, die normalerweise das Ausführen eines externen Kommandos über die CMD.exe unterbinden soll.
    Die Schwachstelle betrifft ältere PHP Versionen auf Windows :
  • PHP 8.1 < 8.1.28
  • PHP 8.2 < 8.2.18
  • PHP 8.3 < 8.3.5

Nutzer dieser Systeme sollten auf Version 8.1.28, 8.2.18 bzw. 8.3.6 aktualisieren, um den Schutz vor dieser kritischen Sicherheitslücke zu gewährleisten.
Laut Dokumentation sollte proc_open in PHP 7.4.0 und höher externe Befehle direkt ausführen können, ohne durch eine Shell zu gehen, wenn die Befehle als Array übergeben werden. Dies schließt eine automatische Escapierung der Argumente durch PHP mit ein. Die Option bypass_shell ist speziell dafür gedacht, die Nutzung der CMD.exe zu umgehen.

Diese Schwachstelle ermöglicht es, dass über die Kommandozeile beliebige Befehle ausgeführt werden können, was normalerweise nicht erwartet wird, wenn Befehle nicht über die Shell verarbeitet werden sollen. Dadurch ist eine unerwartete und potenziell schädliche Codeausführung möglich.

Die Schwere dieser Sicherheitslücke wird auf der CVSS-Skala mit 9.4 von 10 bewertet, was auf ein kritisches Risiko hinweist. Betroffene und Entwickler werden dringend aufgefordert, ihre Systeme umgehend zu aktualisieren und die Verwendung der betroffenen Befehlsstrukturen zu überprüfen.

Jedoch wird bei der Ausführung von .bat oder .cmd Dateien cmd.exe implizit durch CreateProcess gestartet, was dazu führt, dass Befehlsargumente doch durch cmd.exe interpretiert werden. Dies kann zur Ausführung unerwarteter Befehle führen, wie das Beispiel mit “calc.exe” zeigt:

Ein Proof of Concept (PoC), das die Schwachstelle illustriert, beinhaltet das Ausführen einer .bat-Datei, die durch manipulierte Argumente die Anwendung “notepad.exe” startet.

Related Posts

Twitter behebt URL-Rewrite-Fehler, der Phishing ermöglichte

10. April 2024 - Die Social-Media-Plattform X, ehemals bekannt als Twitter, hat kürzlich einen peinlichen Fehler behoben, der es ermöglichte, dass URLs auf der Plattform missbräuchlich für Phishing-Kampagnen genutzt werden konnten. Laut einem Bericht des News Portals TheRegister.com trat der Fehler am 8.4.24 auf, nachdem Programmierer von X eine Regel in der iOS-App implementierten, die Links von Twitter.com automatisch in X.com-Links umwandelte.

Read More

Spring Framework: weitere SSRF Schwachstelle entdeckt

April 2024 – Schon wieder wurde eine schwere Sicherheitslücke (CVE-2024-22262) im Spring Framework gefunden. Diese betrifft die Art und Weise, wie URLs durch die Verwendung des UriComponentsBuilder analysiert und Host-Überprüfungen durchgeführt werden. Betroffene Anwendungen könnten nach erfolgreichem Bestehen der Validierungsprüfungen Opfer von Open Redirect- oder Server-Side Request Forgery (SSRF)-Angriffen werden. Diese Schwachstelle ist identisch mit den bereits früher gemeldeten CVEs 2024-22259 und 2024-22243, unterscheidet sich jedoch in den Eingabebedingungen.

Read More

GitLab: Patch stopft kritische XSS Lücken

April 2024 - GitLab hat neue Versionen (16.10.2, 16.9.4, 16.8.6) für die Community Edition (CE) und Enterprise Edition (EE) veröffentlicht um teils kritische Lücken zu stopfen. Es wird dringend empfohlen On-Premise Instanzen auf die neueste Version zu aktualisieren. Titel Schweregrad Gespeicherter XSS-Injection im Diff-Viewer Hoch Gespeicherter XSS über Autovervollständigungsergebnisse Hoch Redos bei Integrations-Chat-Nachrichten Mittel Redos während des Parsens des JUnit-Testberichts Mittel Gepatchte Sicherheitslücken

Read More