IT之家6月8日消息，PHP项目维护团队昨日发布新补丁，修复了存在于PHPforWindows中的远程代码执行（RCE）漏洞，并敦促用户尽快更新至6月6日发布的8.3.8、8.2.20以及8.1.29版本。

PHP是一种广泛使用的开放源码脚本语言，设计用于网络开发，通常在Windows和Linux服务器上使用。

Devcore首席安全研究员OrangeTsai于2024年5月7日发现了这个新的RCE漏洞，并将其报告给了PHP开发人员。

IT之家注：该漏洞追踪编号为CVE-2024-4577，影响到自5.x版以来的所有版本，可能对全球大量服务器造成影响。

此外Shadowserver基金会发布公告，表示已经检测到有黑客正扫描存在该漏洞的服务器。

ITCVE-2024-4577漏洞是由于处理字符编码转换时的疏忽造成的，在Windows上以CGI模式使用PHP，尤其是使用“Best-Fit”功能的服务器环境，比较容易遭到黑客攻击。

DevCore的咨询解释说：

在实施PHP时，团队没有注意到在Windows操作系统内进行编码转换的Best-Fit功能。

未经认证的攻击者利用该漏洞，通过特定字符序列绕过CVE-2012-1823先前的保护。通过参数注入攻击，可在远程PHP服务器上执行任意代码。

分析人员解释说，即使PHP未配置为CGI模式，只要PHP可执行文件（如php.exe或php-cgi.exe）位于网络服务器可访问的目录中，CVE-2024-4577仍有可能被利用。