Сегодня 17 октября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → php

В PHP нашли опасную уязвимость, через которую легко заражать вирусами ПК на Windows

XAMPP и другие веб-серверы на PHP оказались под прицелом хакеров. На днях специалисты по кибербезопасности сообщили о серьёзной уязвимости в популярном языке программирования PHP, которая позволяет злоумышленникам удаленно выполнять вредоносный код на устройствах с Windows. Уязвимость получила идентификатор CVE-2024-4577.

 Источник изображения: Caspar Camille Rubin/Unsplash

Источник изображения: Caspar Camille Rubin/Unsplash

По словам экспертов, эксплуатировать эту уязвимость очень просто благодаря встроенной в Windows функции Best Fit, которая неверно преобразует некоторые Unicode-символы в PHP. Злоумышленники могут использовать метод внедрения аргументов, чтобы заставить PHP-интерпретатор выполнять произвольные команды, сообщает Ars Technica.

Уязвимость затрагивает версии PHP, работающие в режиме CGI, когда веб-сервер передает HTTP-запросы интерпретатору PHP для обработки. Однако даже если режим CGI не используется, атаковать можно установки PHP с доступными извне исполняемыми файлами интерпретатора. Такая конфигурация включена по умолчанию в популярном пакете XAMPP для Windows.

Исследователи продемонстрировали факт того, как злоумышленник может преобразовать безобидный HTTP-запрос в команду для запуска PHP-интерпретатора с дополнительными аргументами, которые разрешают удалённое выполнение PHP-кода из тела запроса. Внедрение аргумента «-d allow_url_include=1 -d auto_prepend_file=php://input» примет следующие входные данные:

 Источник изображения: Arstechnica.com

Источник изображения: Arstechnica.com

А в подтверждение того, что цель RCE была достигнута должна появиться страница phpinfo.php. Таким образом обходится защита от похожей уязвимости 2012 года (CVE-2012-1823).

 Источник изображения: Arstechnica.com

Источник изображения: Arstechnica.com

После публикации деталей уязвимости организация Shadowserver начала сканирование интернета и обнаружила тысячи уязвимых серверов. Учитывая простоту атаки, потенциальную опасность и широкое распространение PHP, эксперты рекомендуют администраторам срочно установить патч, чтобы избежать возможных атак.

Уязвимость была найдена Оранжем Цаем (Orange Tsai) из компании Devcore в рамках аудита безопасности PHP. По его словам, несмотря на тривиальность, эта ошибка представляет большой интерес для исследования. Разработчики PHP выпустили исправление в тот же день после сообщения, в четверг, 6 июня.


window-new
Soft
Hard
Тренды 🔥
ИИ Meta будет предлагать пользователям отредактировать и опубликовать фото из их галереи 28 мин.
Новая статья: Vampire: The Masquerade — Bloodlines 2 — резус разочаровательный. Рецензия 31 мин.
«Невероятно исторический момент»: в Football Manager 26 впервые для серии появится Чемпионат мира по футболу и другие турниры ФИФА 2 ч.
Судебные документы Sony и Tencent раскрыли, когда выйдет фильм по Horizon Zero Dawn 4 ч.
Apple обвинила Epic Games в новой попытке отвертеться от уплаты комиссий App Store 4 ч.
Фэнтезийный боевик Absolum приглянулся не только критикам, но и игрокам — 200 тысяч проданных копий и 91 % в Steam 5 ч.
«Выбор сделали за меня»: бывший руководитель франшизы Assassin’s Creed объяснил, почему покинул Ubisoft 6 ч.
Хакеры слили данные сотен сотрудников ФБР, Минюста и Министерства внутренней безопасности США 6 ч.
Родители смогут ограничивать общение своих детей с ИИ-персонажами в Instagram 6 ч.
ИИ-модели и сервисы основного конкурента OpenAI стали доступны в Microsoft Office, Teams, Outlook и OneDrive 7 ч.
Релиз Kaspersky NGFW 1.1: улучшенная отказоустойчивость, антивирусная проверка архивов и новые аппаратные платформы 54 мин.
Atari представила ретро-консоль Intellivision Spirit c 45 встроенными играми с «возможностью расширения» 2 ч.
Huawei представила смартфон Nova 14 Lite на устаревшем чипе Kirin 8000 и HarmonyOS 5.1 3 ч.
Игровой ноутбук Redmagic Titan 16 Pro 2026 за $4209 получил чип Core Ultra 9 275HX и графику GeForce RTX 5090 3 ч.
Китайцы создали «полароид» для астрономии — он делает мгновенные снимки Вселенной с рекордной точностью 3 ч.
HTC показала доступный геймерский смартфон Wildfire и не только 3 ч.
Представлены первые в мире смартфоны с активным жидкостным кулером и не только — геймерские Redmagic 11 Pro и Pro+ 5 ч.
Poolside и CoreWeave построят в Техасе 2-ГВт кампус ИИ ЦОД, работающий на газе из Пермского бассейна 7 ч.
Apple сама решила обделить зарядными устройствами MacBook Pro в Европе — власти и законы ЕС ни при чём 8 ч.
Meta построит ещё один гигаваттный ИИ ЦОД, на этот раз в Техасе 8 ч.