Сегодня 04 июля 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В PHP нашли опасную уязвимость, через которую легко заражать вирусами ПК на Windows

XAMPP и другие веб-серверы на PHP оказались под прицелом хакеров. На днях специалисты по кибербезопасности сообщили о серьёзной уязвимости в популярном языке программирования PHP, которая позволяет злоумышленникам удаленно выполнять вредоносный код на устройствах с Windows. Уязвимость получила идентификатор CVE-2024-4577.

 Источник изображения: Caspar Camille Rubin/Unsplash

Источник изображения: Caspar Camille Rubin/Unsplash

По словам экспертов, эксплуатировать эту уязвимость очень просто благодаря встроенной в Windows функции Best Fit, которая неверно преобразует некоторые Unicode-символы в PHP. Злоумышленники могут использовать метод внедрения аргументов, чтобы заставить PHP-интерпретатор выполнять произвольные команды, сообщает Ars Technica.

Уязвимость затрагивает версии PHP, работающие в режиме CGI, когда веб-сервер передает HTTP-запросы интерпретатору PHP для обработки. Однако даже если режим CGI не используется, атаковать можно установки PHP с доступными извне исполняемыми файлами интерпретатора. Такая конфигурация включена по умолчанию в популярном пакете XAMPP для Windows.

Исследователи продемонстрировали факт того, как злоумышленник может преобразовать безобидный HTTP-запрос в команду для запуска PHP-интерпретатора с дополнительными аргументами, которые разрешают удалённое выполнение PHP-кода из тела запроса. Внедрение аргумента «-d allow_url_include=1 -d auto_prepend_file=php://input» примет следующие входные данные:

 Источник изображения: Arstechnica.com

Источник изображения: Arstechnica.com

А в подтверждение того, что цель RCE была достигнута должна появиться страница phpinfo.php. Таким образом обходится защита от похожей уязвимости 2012 года (CVE-2012-1823).

 Источник изображения: Arstechnica.com

Источник изображения: Arstechnica.com

После публикации деталей уязвимости организация Shadowserver начала сканирование интернета и обнаружила тысячи уязвимых серверов. Учитывая простоту атаки, потенциальную опасность и широкое распространение PHP, эксперты рекомендуют администраторам срочно установить патч, чтобы избежать возможных атак.

Уязвимость была найдена Оранжем Цаем (Orange Tsai) из компании Devcore в рамках аудита безопасности PHP. По его словам, несмотря на тривиальность, эта ошибка представляет большой интерес для исследования. Разработчики PHP выпустили исправление в тот же день после сообщения, в четверг, 6 июня.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Конец эпохи: Intel закрыла приложение Unison для синхронизации ПК и смартфонов 14 мин.
Минюст США убедил Google и Apple не блокировать TikTok, пообещав их не штрафовать 20 мин.
Destiny: Rising не заставит себя долго ждать — дата выхода и новый геймплейный трейлер 5 ч.
Anthem уйдёт в вечный офлайн — Electronic Arts скоро отключит серверы провального шутера 6 ч.
«Базальт СПО» представила в Китае российский ПАК с китайскими чипами Loongson 7 ч.
Петиция «Прекратите убивать игры» набрала миллион подписей для рассмотрения в Евросоюзе, но борьба ещё не окончена 7 ч.
Аналитики раскрыли продажи Death Stranding 2: On the Beach — игра уже стала хитом на PlayStation 5 9 ч.
Windows 11 становится всё популярнее среди геймеров — на неё переходят не только с Windows 10 9 ч.
Новый шутер от соавтора Doom Джона Ромеро оказался под угрозой — из-за увольнений в Microsoft студия осталась без денег и сотрудников 10 ч.
39 млн записей с персональными данными россиян утекло за первое полугодие 12 ч.
E Ink придумала встроить в тачпад ноутбука экран на электронных чернилах — для общения с ИИ и не только 4 ч.
Новая статья: ИИтоги июня 2025 г.: ой, да было бы что заменять! 5 ч.
Transcend выпустила свой самый быстрый SSD для ПК — MTE260S со скоростью до 14 000 Мбайт/с 7 ч.
«Большой прекрасный закон» Трампа сулит тёмные времена солнечной энергетике США 7 ч.
Nothing Phone (3) для Индии получил более ёмкую батарею, чем для США и Европы 7 ч.
Дело о растрате 6 млрд рублей при создании «планшета Чубайса» дошло до суда 7 ч.
Tesla подтвердила падение спроса на Cybertruck до 5000 единиц в квартал — на порядок ниже изначального плана 8 ч.
Nvidia сегодня может отобрать у Apple звание самой дорогой компании в истории 8 ч.
В России поступили в продажу беспроводные наушники Realme Buds T200x, Buds T200 Lite и Buds Air7 — от 1699 рублей 9 ч.
Pebble выпустила умное-кольцо Halo Smart Ring, которое умеет показывать время и стоит менее $100 9 ч.