Сегодня 25 июня 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → php

В PHP нашли опасную уязвимость, через которую легко заражать вирусами ПК на Windows

XAMPP и другие веб-серверы на PHP оказались под прицелом хакеров. На днях специалисты по кибербезопасности сообщили о серьёзной уязвимости в популярном языке программирования PHP, которая позволяет злоумышленникам удаленно выполнять вредоносный код на устройствах с Windows. Уязвимость получила идентификатор CVE-2024-4577.

 Источник изображения: Caspar Camille Rubin/Unsplash

Источник изображения: Caspar Camille Rubin/Unsplash

По словам экспертов, эксплуатировать эту уязвимость очень просто благодаря встроенной в Windows функции Best Fit, которая неверно преобразует некоторые Unicode-символы в PHP. Злоумышленники могут использовать метод внедрения аргументов, чтобы заставить PHP-интерпретатор выполнять произвольные команды, сообщает Ars Technica.

Уязвимость затрагивает версии PHP, работающие в режиме CGI, когда веб-сервер передает HTTP-запросы интерпретатору PHP для обработки. Однако даже если режим CGI не используется, атаковать можно установки PHP с доступными извне исполняемыми файлами интерпретатора. Такая конфигурация включена по умолчанию в популярном пакете XAMPP для Windows.

Исследователи продемонстрировали факт того, как злоумышленник может преобразовать безобидный HTTP-запрос в команду для запуска PHP-интерпретатора с дополнительными аргументами, которые разрешают удалённое выполнение PHP-кода из тела запроса. Внедрение аргумента «-d allow_url_include=1 -d auto_prepend_file=php://input» примет следующие входные данные:

 Источник изображения: Arstechnica.com

Источник изображения: Arstechnica.com

А в подтверждение того, что цель RCE была достигнута должна появиться страница phpinfo.php. Таким образом обходится защита от похожей уязвимости 2012 года (CVE-2012-1823).

 Источник изображения: Arstechnica.com

Источник изображения: Arstechnica.com

После публикации деталей уязвимости организация Shadowserver начала сканирование интернета и обнаружила тысячи уязвимых серверов. Учитывая простоту атаки, потенциальную опасность и широкое распространение PHP, эксперты рекомендуют администраторам срочно установить патч, чтобы избежать возможных атак.

Уязвимость была найдена Оранжем Цаем (Orange Tsai) из компании Devcore в рамках аудита безопасности PHP. По его словам, несмотря на тривиальность, эта ошибка представляет большой интерес для исследования. Разработчики PHP выпустили исправление в тот же день после сообщения, в четверг, 6 июня.


window-new
Soft
Hard
Тренды 🔥
Chrome для Android наконец научился переносить адресную строну в нижнюю часть экрана 25 мин.
Nvidia завершила бета-тестирование DLSS Transformer — с ней игры пойдут в 4K и 240 FPS 26 мин.
Diablo IV возглавила июльскую подборку игр для подписчиков PS Plus, а Sony готовится к празднику 2 ч.
HPE делает ставку на повсеместное использование ИИ-агентов 2 ч.
«Сбер» научил GigaChat рассуждать над запросами, но функцию пока открыл не всем 3 ч.
Поддержка модов, новые механики и полноценная A-Life: для S.T.A.L.K.E.R. 2: Heart of Chornobyl вышло крупное обновление 1.5 3 ч.
«Сбер» представил нейросеть Kandinsky 4.1 Video для генерации 10-секундных HD-видео 4 ч.
Cloud.ru представил ИИ-помощника для автоматизации работы с облаком и управления инфраструктурой 4 ч.
Утилита Red OS MediaWriter поможет создать загрузочный USB-накопитель с «Ред ОС» 5 ч.
Мошенники заигрались: аферисты используют Minecraft, Roblox и Brawl Stars для обмана российских школьников 6 ч.
HPE представила новые решения для частных ИИ-фабрик на базе решений NVIDIA 5 мин.
Представлен Fairphone 6 — смартфон с повышенной ремонтопригодностью, 8 годами обновлений и модульными аксессуарами 5 мин.
Vivo представила X Fold 5 — самый лёгкий и защищённый смартфон-книжку в мире. А ещё он совместим с Apple Watch и AirPods 11 мин.
HDMI 2.2 будет поддерживать 16K при 60 Гц и до 96 Гбит/с — утверждены финальные спецификации 52 мин.
Состоялся релиз InfoWatch ARMA Industrial Firewall 3.14 с поддержкой глубокого разбора 16 промышленных протоколов 3 ч.
Гознак построит в Москве ЦОД на 1,5 тыс. стоек 4 ч.
Граждане Индии, Венгрии и Польши впервые полетели на МКС в рамках частной миссии Axiom Space 5 ч.
Intel свернёт производство автопроцессоров ради серверов и ПК 6 ч.
Кавардак на рынке памяти продолжается — 16-Гбит чипы DDR4 стоят уже вдвое дороже DDR5 такой же ёмкости 6 ч.
Апокалиптические астероиды подождут: у NASA выявили отсутствие комплексного плана защиты Земли 6 ч.