Сегодня 25 июля 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → php

В PHP нашли опасную уязвимость, через которую легко заражать вирусами ПК на Windows

XAMPP и другие веб-серверы на PHP оказались под прицелом хакеров. На днях специалисты по кибербезопасности сообщили о серьёзной уязвимости в популярном языке программирования PHP, которая позволяет злоумышленникам удаленно выполнять вредоносный код на устройствах с Windows. Уязвимость получила идентификатор CVE-2024-4577.

 Источник изображения: Caspar Camille Rubin/Unsplash

Источник изображения: Caspar Camille Rubin/Unsplash

По словам экспертов, эксплуатировать эту уязвимость очень просто благодаря встроенной в Windows функции Best Fit, которая неверно преобразует некоторые Unicode-символы в PHP. Злоумышленники могут использовать метод внедрения аргументов, чтобы заставить PHP-интерпретатор выполнять произвольные команды, сообщает Ars Technica.

Уязвимость затрагивает версии PHP, работающие в режиме CGI, когда веб-сервер передает HTTP-запросы интерпретатору PHP для обработки. Однако даже если режим CGI не используется, атаковать можно установки PHP с доступными извне исполняемыми файлами интерпретатора. Такая конфигурация включена по умолчанию в популярном пакете XAMPP для Windows.

Исследователи продемонстрировали факт того, как злоумышленник может преобразовать безобидный HTTP-запрос в команду для запуска PHP-интерпретатора с дополнительными аргументами, которые разрешают удалённое выполнение PHP-кода из тела запроса. Внедрение аргумента «-d allow_url_include=1 -d auto_prepend_file=php://input» примет следующие входные данные:

 Источник изображения: Arstechnica.com

Источник изображения: Arstechnica.com

А в подтверждение того, что цель RCE была достигнута должна появиться страница phpinfo.php. Таким образом обходится защита от похожей уязвимости 2012 года (CVE-2012-1823).

 Источник изображения: Arstechnica.com

Источник изображения: Arstechnica.com

После публикации деталей уязвимости организация Shadowserver начала сканирование интернета и обнаружила тысячи уязвимых серверов. Учитывая простоту атаки, потенциальную опасность и широкое распространение PHP, эксперты рекомендуют администраторам срочно установить патч, чтобы избежать возможных атак.

Уязвимость была найдена Оранжем Цаем (Orange Tsai) из компании Devcore в рамках аудита безопасности PHP. По его словам, несмотря на тривиальность, эта ошибка представляет большой интерес для исследования. Разработчики PHP выпустили исправление в тот же день после сообщения, в четверг, 6 июня.


window-new
Soft
Hard
Тренды 🔥
Правозащитники массово жалуются в Еврокомиссию на Alphabet: Android не даёт удалять приложения Google 39 мин.
ФАС: блогерам не придётся удалять всю старую рекламу в запрещённых соцсетях 45 мин.
«Уделим внимание мелочам, которые отделяют хорошую игру от превосходной»: Techland отложила выход Dying Light: The Beast 2 ч.
«Яндекс» открыл корпоративным клиентам доступ к ИИ-модели Alibaba Qwen 3 — самой мощной в ассортименте 2 ч.
Совфед утвердил закон о наказании за рекламу VPN и поиск экстремистских материалов 3 ч.
Сегодня отмечается международный День системного администратора 3 ч.
Инсайдер: ремейк Silent Hill 1 находится в разработке три года, релиз запланирован на 2027 год 4 ч.
«Спасибо, что сэкономили мои деньги»: новый геймплей перезапуска Painkiller разочаровал фанатов 4 ч.
«Мы хотим, чтобы эта игра существовала всегда»: Obsidian сохранит доступ к Grounded после выхода сиквела 4 ч.
На сайте CD Projekt Red засветились подробности Hadar — загадочной RPG в новой вселенной от создателей The Witcher 4 и Cyberpunk 2 5 ч.
Anthropic: к 2028 году для ИИ в США потребуется 50 ГВт электроэнергии, а для передовых ИИ-моделей — 5-ГВт ЦОД 9 мин.
ASRock представила материнскую плату B850 Challenger для недорогих игровых сборок на Ryzen 43 мин.
Asus представила свою первую Radeon с разъёмом питания 12V-2×6 — Radeon AI Pro R9700 с турбиной 46 мин.
Анонсированы бюджетные умные часы Lenovo Watch Pro с поддержкой до 20 дней работы без подзарядки 2 ч.
Asus представила 31,5-дюймовый OLED-монитор ROG Zephyrus X с режимами 4K при 165 Гц и Full HD при 330 Гц 2 ч.
Представлен компактный планшет Honor Pad X7 с 8,7-дюймовым дисплеем и батареей на 7020 мА·ч 2 ч.
В США придумали как ускорить строительство АЭС — для этого потребуется 3D-принтер, ABS-пластик и опилки 2 ч.
Строительство второго предприятия TSMC в Японии задерживается 3 ч.
Себестоимость флагманов Samsung Galaxy серии S Ultra росла неравномерно 3 ч.
Acer Aspire 3 (17”) и Aspire Go 17 — ноутбуки для учёбы, работы и развлечений, способные заменить настольный ПК 3 ч.