Eine neue Sicherheitslücke in PHP, entdeckt von Orange Tsai vom DEVCORE Research Team, ermöglicht Angreifern die Remote Ausführung von beliebigem PHP-Code auf verwundbaren Servern. Diese Schwachstelle CVE-2024-4577 betrifft PHP-Installationen, die mit dem Windows-Betriebssystem unter Verwendung von Apache HTTP Server und PHP-CGI betrieben werden. Das Problem liegt in einer Umgehung des Patches für die ältere Schwachstelle CVE-2012-1823 durch die Manipulation der Argumente über die QUERY_STRING.
Durch Ausnutzung von Windows‘ „Best-Fit“ Verhalten bei der Zeichenkonvertierung können Angreifer über bestimmte Codepages (z.B. 932, 936, 950) das ursprüngliche Sicherheitsupdate umgehen und beliebigen Code injizieren.
Besonders gefährdet sind Systeme, die PHP-CGI unter Apache HTTP Server verwebden. Betroffene Systeme sollten auf die neuesten PHP-Versionen aktualisiert werden (8.3.8, 8.2.20, 8.1.29). Systeme, die PHP-CGI unter Windows in den beschriebenen Regionen betreiben, sollten dringend auf mögliche Angriffsvektoren überprüft werden.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: