Han surgido detalles sobre una nueva falla de seguridad crítica que afecta a PHP y que podría explotarse para lograr la ejecución remota de código en determinadas circunstancias.
La vulnerabilidad, rastreada como CVE-2024-4577ha sido descrita como una vulnerabilidad de inyección de argumentos CGI que afecta a todas las versiones de PHP instaladas en el sistema operativo Windows.
Según el investigador de seguridad DEVCORE, la deficiencia permite eludir las protecciones implementadas para otro fallo de seguridad. CVE-2012-1823.
«Mientras implementaba PHP, el equipo no notó la Mejor ajuste función de conversión de codificación dentro del sistema operativo Windows», dijo el investigador de seguridad Orange Tsai dicho.
«Esta supervisión permite a atacantes no autenticados eludir la protección anterior de CVE-2012-1823 mediante secuencias de caracteres específicas. Se puede ejecutar código arbitrario en servidores PHP remotos mediante el ataque de inyección de argumentos».
Tras la divulgación responsable el 7 de mayo de 2024, se ha solucionado el problema vulnerabilidad ha sido puesto a disposición en Versiones de PHP 8.3.8, 8.2.20 y 8.1.29.
DEVCORE ha advertido que todas las instalaciones de XAMPP en Windows son vulnerables de forma predeterminada cuando se configuran para usar el locales para chino tradicional, chino simplificado o japonés.
La empresa taiwanesa también recomienda que los administradores se alejen por completo del obsoleto PHP CGI y opten por una solución más segura como Mod-PHP, FastCGI o PHP-FPM.
«Esta vulnerabilidad es increíblemente simple, pero eso es también lo que la hace interesante», dijo Tsai. dicho. «¿Quién hubiera pensado que un parche, que ha sido revisado y demostrado ser seguro durante los últimos 12 años, podría pasarse por alto debido a una característica menor de Windows?»
La Fundación Shadowserver, en una publicación compartido on X, dijo que ya había detectado intentos de explotación relacionados con la falla en sus servidores honeypot dentro de las 24 horas posteriores a la divulgación pública.
watchTowr Labs dijo que pudo diseñar un exploit para CVE-2024-4577 y lograr la ejecución remota de código, lo que hace imperativo que los usuarios actúen rápidamente para aplicar los últimos parches.
«Un error desagradable con un exploit muy simple», investigadora de seguridad Aliz Hammond dicho.
«Aquellos que ejecutan una configuración afectada en una de las configuraciones regionales afectadas (chino (simplificado o tradicional) o japonés) deben hacerlo lo más rápido humanamente posible, ya que el error tiene una alta probabilidad de ser explotado en masa debido a la baja complejidad del exploit».