【漏洞通报】CNNVD关于PHP 操作系统命令注入漏洞的通报

文章正文
发布时间:2024-09-11 16:53

  近日,国家信息安全漏洞库(CNNVD)收到关于PHP 操作系统命令注入漏洞(CNNVD-202406-852、CVE-2024-4577)情况的报送。未经身份认证的攻击者可以使用特定的字符序列绕过防护,通过参数注入的方式在目标服务器上远程执行代码。PHP多个版本均受该漏洞影响。目前,PHP官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。

  一、漏洞介绍

  PHP是一种在服务器端执行的脚本语言,适用于开发动态网站和Web应用程序。未经身份认证的攻击者可以使用特定的字符序列绕过防护,通过参数注入攻击在目标PHP服务器上远程执行代码,获取敏感信息或造成服务器崩溃。

  二、危害影响

  未经身份认证的攻击者可以使用特定的字符序列绕过防护,通过参数注入的方式在目标服务器上远程执行代码。PHP 8.1至8.1.29之前版本,PHP 8.3至8.3.8之前版本,PHP 8.2至8.2.20之前版本均受该漏洞影响。

  三、修复建议

  目前,PHP官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。官方更新版本下载链接:

  https://www.php.net/downloads.php

  本通报由CNNVD技术支撑单位——奇安信网神信息技术(北京)股份有限公司、浙江极安信息科技有限公司、北京山石网科信息技术有限公司、南京禾盾信息科技有限公司、深圳建安润星安全技术有限公司、天津市兴先道科技有限公司、上海戟安科技有限公司、贵州泰若数字科技有限公司、北京安天网络安全技术有限公司、工业和信息化部电子第五研究所、广州纬安科技有限公司、锐捷网络股份有限公司、深信服科技股份有限公司、北京天融信网络安全技术有限公司、深圳市网安计算机安全检测技术有限公司、新华三技术有限公司、华为技术有限公司、苏州棱镜七彩信息科技有限公司、北京长亭科技有限公司、北京国信城研科学技术研究院、永信至诚科技集团股份有限公司、远江盛邦(北京)网络安全科技股份有限公司、马鞍山书拓安全科技有限公司、北京网藤科技有限公司、北京华云安信息技术有限公司、河南灵创电子科技有限公司、中孚安全技术有限公司、长扬科技(北京)股份有限公司上海斗象信息科技有限公司、北京天防安全科技有限公司、浙江极安信息科技有限公司、建信金融科技有限责任公司安全攻防实验室、杭州默安科技有限公司等技术支撑单位提供支持。