Сегодня 10 сентября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → php

В PHP нашли опасную уязвимость, через которую легко заражать вирусами ПК на Windows

XAMPP и другие веб-серверы на PHP оказались под прицелом хакеров. На днях специалисты по кибербезопасности сообщили о серьёзной уязвимости в популярном языке программирования PHP, которая позволяет злоумышленникам удаленно выполнять вредоносный код на устройствах с Windows. Уязвимость получила идентификатор CVE-2024-4577.

 Источник изображения: Caspar Camille Rubin/Unsplash

Источник изображения: Caspar Camille Rubin/Unsplash

По словам экспертов, эксплуатировать эту уязвимость очень просто благодаря встроенной в Windows функции Best Fit, которая неверно преобразует некоторые Unicode-символы в PHP. Злоумышленники могут использовать метод внедрения аргументов, чтобы заставить PHP-интерпретатор выполнять произвольные команды, сообщает Ars Technica.

Уязвимость затрагивает версии PHP, работающие в режиме CGI, когда веб-сервер передает HTTP-запросы интерпретатору PHP для обработки. Однако даже если режим CGI не используется, атаковать можно установки PHP с доступными извне исполняемыми файлами интерпретатора. Такая конфигурация включена по умолчанию в популярном пакете XAMPP для Windows.

Исследователи продемонстрировали факт того, как злоумышленник может преобразовать безобидный HTTP-запрос в команду для запуска PHP-интерпретатора с дополнительными аргументами, которые разрешают удалённое выполнение PHP-кода из тела запроса. Внедрение аргумента «-d allow_url_include=1 -d auto_prepend_file=php://input» примет следующие входные данные:

 Источник изображения: Arstechnica.com

Источник изображения: Arstechnica.com

А в подтверждение того, что цель RCE была достигнута должна появиться страница phpinfo.php. Таким образом обходится защита от похожей уязвимости 2012 года (CVE-2012-1823).

 Источник изображения: Arstechnica.com

Источник изображения: Arstechnica.com

После публикации деталей уязвимости организация Shadowserver начала сканирование интернета и обнаружила тысячи уязвимых серверов. Учитывая простоту атаки, потенциальную опасность и широкое распространение PHP, эксперты рекомендуют администраторам срочно установить патч, чтобы избежать возможных атак.

Уязвимость была найдена Оранжем Цаем (Orange Tsai) из компании Devcore в рамках аудита безопасности PHP. По его словам, несмотря на тривиальность, эта ошибка представляет большой интерес для исследования. Разработчики PHP выпустили исправление в тот же день после сообщения, в четверг, 6 июня.


window-new
Soft
Hard
Тренды 🔥
«До сих пор отходим от похмелья»: разработчики Ghost of Yotei с размахом отпраздновали перенос GTA VI 7 ч.
Нейросеть Google Veo 3 научилась создавать вертикальные видео для соцсетей 8 ч.
По мотивам «Повести временных лет» выпустят MMORPG на стыке научной фантастики и фэнтези с «эпической историей» и геймплеем «нового уровня» 10 ч.
Антиспам-сервис Microsoft начал блокировать безопасные ссылки в Teams и Exchange Online, и отправлять письма в карантин 10 ч.
Пароли «admin» и другие дыры в кибербезопасности сети ресторанов Burger King выявили белые хакеры 11 ч.
Из Meta продолжается массовый исход специалистов в сфере ИИ — Цукерберг пытается его остановить, но безуспешно 11 ч.
Microsoft тестирует новые ИИ-функции в «Проводнике» Windows 11 11 ч.
Бывший сотрудник подал на WhatsApp в суд из-за игнорирования проблем с кибербезопасностью 13 ч.
Соцсети заполонили боты: Сэм Альтман пожаловался, что интернет стал искусственным из-за ИИ 14 ч.
Meta обвинили в помехах исследованиям о рисках для детей в Instagram и других платформах 15 ч.
До 300 000 рублей: объявлены российские цены на iPhone Air, iPhone 17, 17 Pro и 17 Pro Max 3 ч.
Apple представила смарт-часы Watch Ultra 3 со спутниковой связью и автономностью на 42 часа за $799 3 ч.
Новая статья: IFA 2025: выставки электроники уже не те, но без интересных новинок не обошлось 4 ч.
Apple объявила дату выхода iOS 26 со «стеклянным» дизайном для всех совместимых устройств 4 ч.
Представлен беспроводной контроллер Apple N1 для Wi-Fi 7 и Bluetooth 6 в новых iPhone 4 ч.
Apple представила плечевой ремешок для iPhone 17 Air за $59 и другие модные аксессуары 5 ч.
Fermi America, стоящая за мегапроектом 11-ГВт ИИ ЦОД HyperGrid с питанием от АЭС, собралась на биржу 5 ч.
Apple представила смарт-часы Watch Series 11 — самые тонкие, с 5G и детектором гипертонии за $399 5 ч.
Представлены беспроводные наушники Apple AirPods Pro 3 с живым переводом и датчиком пульса за $249 5 ч.
Дебютировали Apple Watch SE 3 с усиленным стеклом, AoD, повышенной автономностью и 5G — от $249 6 ч.