Сегодня 16 сентября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → php

В PHP нашли опасную уязвимость, через которую легко заражать вирусами ПК на Windows

XAMPP и другие веб-серверы на PHP оказались под прицелом хакеров. На днях специалисты по кибербезопасности сообщили о серьёзной уязвимости в популярном языке программирования PHP, которая позволяет злоумышленникам удаленно выполнять вредоносный код на устройствах с Windows. Уязвимость получила идентификатор CVE-2024-4577.

 Источник изображения: Caspar Camille Rubin/Unsplash

Источник изображения: Caspar Camille Rubin/Unsplash

По словам экспертов, эксплуатировать эту уязвимость очень просто благодаря встроенной в Windows функции Best Fit, которая неверно преобразует некоторые Unicode-символы в PHP. Злоумышленники могут использовать метод внедрения аргументов, чтобы заставить PHP-интерпретатор выполнять произвольные команды, сообщает Ars Technica.

Уязвимость затрагивает версии PHP, работающие в режиме CGI, когда веб-сервер передает HTTP-запросы интерпретатору PHP для обработки. Однако даже если режим CGI не используется, атаковать можно установки PHP с доступными извне исполняемыми файлами интерпретатора. Такая конфигурация включена по умолчанию в популярном пакете XAMPP для Windows.

Исследователи продемонстрировали факт того, как злоумышленник может преобразовать безобидный HTTP-запрос в команду для запуска PHP-интерпретатора с дополнительными аргументами, которые разрешают удалённое выполнение PHP-кода из тела запроса. Внедрение аргумента «-d allow_url_include=1 -d auto_prepend_file=php://input» примет следующие входные данные:

 Источник изображения: Arstechnica.com

Источник изображения: Arstechnica.com

А в подтверждение того, что цель RCE была достигнута должна появиться страница phpinfo.php. Таким образом обходится защита от похожей уязвимости 2012 года (CVE-2012-1823).

 Источник изображения: Arstechnica.com

Источник изображения: Arstechnica.com

После публикации деталей уязвимости организация Shadowserver начала сканирование интернета и обнаружила тысячи уязвимых серверов. Учитывая простоту атаки, потенциальную опасность и широкое распространение PHP, эксперты рекомендуют администраторам срочно установить патч, чтобы избежать возможных атак.

Уязвимость была найдена Оранжем Цаем (Orange Tsai) из компании Devcore в рамках аудита безопасности PHP. По его словам, несмотря на тривиальность, эта ошибка представляет большой интерес для исследования. Разработчики PHP выпустили исправление в тот же день после сообщения, в четверг, 6 июня.


window-new
Soft
Hard
Тренды 🔥
«Игра превратилась в монстра»: даже Ubisoft признала, что в Assassin’s Creed Valhalla было слишком много контента 7 мин.
«Яндекс» научил «Алису» оживлять фото 21 мин.
OpenAI приняла на работу сбежавшего из xAI финансового директора 22 мин.
Хакеры украли данные миллионов клиентов Gucci и Balenciaga, включая информацию о покупках 25 мин.
Диски уходят: продажи игр на физических носителях в прошлом году принесли Sony только 3 % от общего объёма выручки 2 ч.
Уникальная и действительно жуткая: журналистка раскрыла первую оценку Silent Hill f за неделю до окончания эмбарго 2 ч.
Вышла Apple macOS Tahoe 26 — она получила интерфейс Liquid Glass, новые средства автоматизации и многое другое 2 ч.
Планы Sony на сентябрьский выпуск State of Play подтвердил ещё один инсайдер — шоу пройдёт совсем скоро 3 ч.
Спустя полтора года в раннем доступе нашумевший симулятор «покемонов с пушками» Palworld взял курс на полноценный релиз 4 ч.
В корпоративном пакете Microsoft 365 заработал бесплатный Copilot Chat 5 ч.
Смартфон Xiaomi 17 Pro показался на видео — у него будет второй дисплей в блоке камер 7 мин.
BlackRock вложит до £500 млн в развитие дата-центров в Великобритании 47 мин.
Silver Lake закрыла сделку по покупке контролирующей доли в бизнесе Altera 56 мин.
OpenAI планирует заняться гуманоидными роботами и собирает команду специалистов в робототехнике 3 ч.
В числе первых чипов, которые выпустит TSMC по 2-нм техпроцессу, окажется следующий Mediatek Dimensity 3 ч.
eSIM от Yesim: как забыть о роуминге и не остаться без связи за границей 4 ч.
Спутниковый интернет Amazon к концу первого квартала 2026 года будет доступен в пяти странах мира 4 ч.
NVIDIA обязалась выкупить у CoreWeave все нераспроданные ИИ-мощности за $6,3 млрд 4 ч.
Умные очки Meta Ray-Ban Display с дисплеем показались на видео до презентации 5 ч.
Завершение сделки по отделению Altera позволило Intel снизить план по операционным расходам на 2025 год на $200 млн 5 ч.