Сегодня 17 сентября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В PHP нашли опасную уязвимость, через которую легко заражать вирусами ПК на Windows

XAMPP и другие веб-серверы на PHP оказались под прицелом хакеров. На днях специалисты по кибербезопасности сообщили о серьёзной уязвимости в популярном языке программирования PHP, которая позволяет злоумышленникам удаленно выполнять вредоносный код на устройствах с Windows. Уязвимость получила идентификатор CVE-2024-4577.

 Источник изображения: Caspar Camille Rubin/Unsplash

Источник изображения: Caspar Camille Rubin/Unsplash

По словам экспертов, эксплуатировать эту уязвимость очень просто благодаря встроенной в Windows функции Best Fit, которая неверно преобразует некоторые Unicode-символы в PHP. Злоумышленники могут использовать метод внедрения аргументов, чтобы заставить PHP-интерпретатор выполнять произвольные команды, сообщает Ars Technica.

Уязвимость затрагивает версии PHP, работающие в режиме CGI, когда веб-сервер передает HTTP-запросы интерпретатору PHP для обработки. Однако даже если режим CGI не используется, атаковать можно установки PHP с доступными извне исполняемыми файлами интерпретатора. Такая конфигурация включена по умолчанию в популярном пакете XAMPP для Windows.

Исследователи продемонстрировали факт того, как злоумышленник может преобразовать безобидный HTTP-запрос в команду для запуска PHP-интерпретатора с дополнительными аргументами, которые разрешают удалённое выполнение PHP-кода из тела запроса. Внедрение аргумента «-d allow_url_include=1 -d auto_prepend_file=php://input» примет следующие входные данные:

 Источник изображения: Arstechnica.com

Источник изображения: Arstechnica.com

А в подтверждение того, что цель RCE была достигнута должна появиться страница phpinfo.php. Таким образом обходится защита от похожей уязвимости 2012 года (CVE-2012-1823).

 Источник изображения: Arstechnica.com

Источник изображения: Arstechnica.com

После публикации деталей уязвимости организация Shadowserver начала сканирование интернета и обнаружила тысячи уязвимых серверов. Учитывая простоту атаки, потенциальную опасность и широкое распространение PHP, эксперты рекомендуют администраторам срочно установить патч, чтобы избежать возможных атак.

Уязвимость была найдена Оранжем Цаем (Orange Tsai) из компании Devcore в рамках аудита безопасности PHP. По его словам, несмотря на тривиальность, эта ошибка представляет большой интерес для исследования. Разработчики PHP выпустили исправление в тот же день после сообщения, в четверг, 6 июня.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Ретросборник Mortal Kombat: Legacy Kollection порадовал игроков региональной ценой — предзаказ доступен в российском Steam 37 мин.
Microsoft стала ещё настойчивее отговаривать от установки Chrome — теперь ещё и через Bing 54 мин.
Дональд Трамп продлил отсрочку на запрет TikTok в США до 16 декабря 5 ч.
Создатели Shorts на YouTube получат ИИ для оживления фото 5 ч.
ОС Astra Linux Server дополнилась спецверсией для «1С:Предприятия 8» 13 ч.
Бывшие разработчики «Мора» анонсировали The Lift — сюжетный симулятор ремонтника с атмосферой советской фантастики 14 ч.
Дополнение The Red Strain к ролевому экшену Atomfall отправит игроков на заброшенный полигон для ядерных испытаний 14 ч.
Google представила локальный поисковик для ПК на Windows 15 ч.
OpenAI готовит детскую версию ChatGPT и будет автоматически сортировать пользователей по возрасту 15 ч.
YouTube за последние четыре года выплатила авторам контента более $100 млрд 15 ч.
iBase представила одноплатный компьютер IBR500 для устройств IoT и периферийного оборудования 17 мин.
В США появится ИИ-суперкомпьютер с Arm-процессорами AmpereOne M и ускорителями Qualcomm Cloud AI 21 мин.
AMD представила процессоры EPYC Embedded 4005 для периферийного оборудования 28 мин.
Свежие снимки чёрной дыры в центре галактики M87 поставили учёных в тупик — там развернулась поляризация 34 мин.
SMIC приступила к тестированию созданной в Китае DUV-системы для выпуска 7-нм чипов 47 мин.
Огосударствление Intel напугало лидеров ИТ-компаний — никто не хочет вмешательства правительства в бизнес 3 ч.
Starlink сотрудничает с разработчиками чипов, чтобы обеспечить поддержку спутниковой связи в смартфонах 7 ч.
Новая статья: Обзор видеокарты NVIDIA GeForce RTX 5050: Intel передает «спасибо» 12 ч.
Samsung забуксовала с флеш-памятью — выпуск QLC NAND девятого поколения отложен до 2026 года 12 ч.
Corsair выпустила компьютерный БП мощностью 3 кВт — к нему можно подключить четыре GeForce RTX 5090 12 ч.