A Fundação PHP publicou no dia 6, quinta-feira passada, atualizações que resolvem uma vulnerabilidade crítica (CVE-2024-4577) na versão para Windows, que permite a execução remota de código no servidor. Um invasor não autorizado pode executar código em servidores onde o PHP está sendo executado no modo CGI, com os idiomas chinês ou japonês definidos. O pesquisador de segurança Orange Tsai , que descobriu o problema, informou em relatório que os sistemas Windows com um conjunto de idiomas diferente também podem estar em risco. As organizações são, portanto, chamadas a atualizar para a versão mais recente do PHP.
Veja isso
Ataque ao PHP e Python para roubo de credenciais AWS
Código-fonte do PHP foi contaminado com backdoor em invasão de servidor
Em 2012, foi encontrada uma vulnerabilidade no PHP (CVE-2012-1823) que permite a execução arbitrária de código. O problema foi corrigido, mas um recurso do Windows para conversão de caracteres torna possível ignorar esse patch por meio de certas ‘sequências de caracteres’ e executar novamente o código no servidor. A vulnerabilidade foi relatada à equipe de desenvolvimento do PHP em 7 de maio; as versões PHP 8.3.8, 8.2.20 e 8.1.29 foram lançadas corrigindo o problema.
Orange Tsai não forneceu detalhes exatos sobre como a execução remota de código é possível, mas pesquisadores da empresa de segurança Watchtower publicaram uma postagem no blog na qual demonstram a execução de código. Os pesquisadores chamam isso de ‘bug desagradável’ e alertam que há uma grande chance de que ele seja abusado, pela simplicidade com que isso é possível. A Shadowserver Foundation relata que o código de exploração de prova de conceito é público e testes nos servidores honeypot da organização já foram observados.