PHP: Umgehung von CVE-2012-1823 durch Argument Injection in PHP-CGI
Eine neue Sicherheitslücke in PHP, entdeckt von Orange Tsai vom DEVCORE Research Team, ermöglicht Angreifern die Remote Ausführung von beliebigem PHP-Code auf verwundbaren Servern. Diese Schwachstelle CVE-2024-4577 betrifft PHP-Installationen, die mit dem Windows-Betriebssystem unter Verwendung von Apache HTTP Server und PHP-CGI betrieben werden. Das Problem liegt in einer Umgehung des Patches für die ältere Schwachstelle CVE-2012-1823 durch die Manipulation der Argumente über die QUERY_STRING.
Durch Ausnutzung von Windows’ “Best-Fit” Verhalten bei der Zeichenkonvertierung können Angreifer über bestimmte Codepages (z.B. 932, 936, 950) das ursprüngliche Sicherheitsupdate umgehen und beliebigen Code injizieren.
Besonders gefährdet sind Systeme, die PHP-CGI unter Apache HTTP Server verwebden. Betroffene Systeme sollten auf die neuesten PHP-Versionen aktualisiert werden (8.3.8, 8.2.20, 8.1.29). Systeme, die PHP-CGI unter Windows in den beschriebenen Regionen betreiben, sollten dringend auf mögliche Angriffsvektoren überprüft werden.