Dana 6. lipnja 2024. identificirana je kritična ranjivost u određenim verzijama PHP-a, koja omogućuje izvršavanje proizvoljnog kôda ili otkrivanje osjetljivih informacija na Windows sustavima koji koriste Apache i PHP-CGI. Zabilježeno je aktivno iskorištavanje ove ranjivosti, kao i više javno dostupnih dokaza o konceptu (engl. Proof of Concept) iskorištavanja ranjivosti.

Tehnički detalji značajnih ranjivosti otklonjenih ovim ažuriranjem: 

Ranjivost CVE-2024-4577 (CVSS ocjena 9.3), zahvaća određene verzije PHP-a. Kada se koriste Apache i PHP-CGI na Windows operativnim sustavima, ako je sustav konfiguriran za uporabu specifičnih kodnih stranica, Windows operativni sustav može koristiti postupak najsličnije odgovarajuće zamjene (engl. Best-Fit behaviour) znakova u naredbenom retku predanom Win32 API funkcijama. Ovo ponašanje može uzrokovati da PHP CGI modul netočno interpretira te znakove kao PHP opcije, što potencijalno omogućuje zlonamjernom korisniku da proslijedi neželjene opcije PHP binarnoj datoteci koja se izvršava. Navedena ranjivost može rezultirati izlaganjem izvornog kôda skripte ili izvršavanjem proizvoljnog PHP kôda na poslužitelju.

Zahvaćene verzije PHP-a:

Preporuke:

Preporučuje se žurno ažuriranje ranjivih verzija proizvoda na najnoviju dostupnu inačicu.
 

Više informacija moguće je pročitati na poveznicama u nastavku:

[inicijalna objava: 14.6.2024 - 10:30]