描述:
PHP 發布了安全性更新,以應對 PHP 的多個漏洞。有關漏洞資料的詳情,請參考以下網址:
https://www.php.net/ChangeLog-8.php
有報告指針對 PHP 遠端執行程式碼漏洞 (CVE-2024-4577) 正受到攻擊並影響已安裝 PHP 的 Windows 作業系統。在 Windows 上預設安裝的 XAMPP 也受到攻擊。系統管理員應立即為受影響的系統安裝修補程式,以減低受到網絡攻擊的風險。
受影響的系統:
- PHP 8.3 版本 8.3.8 之前的版本
- PHP 8.2 版本 8.2.20 之前的版本
- PHP 8.1 版本 8.1.29 之前的版本
PHP 8.0、PHP 7、及 PHP 5 已結束,在這之後也不會再提供修補程式。有關受影響系統的詳細資料,請參閱供應商網站的相應安全公告。
影響:
成功利用漏洞可以在受影響的系統導致遠端執行程式碼或繞過保安限制。
建議:
現已有適用於受影響系統的修補程式。受影響系統的系統管理員應遵從產品供應商的建議,立即採取行動以降低風險。
進一步資訊:
- https://www.php.net/ChangeLog-8.php
- https://www.hkcert.org/tc/security-bulletin/php-multiple-vulnerabilities_20240611
- https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argument-injection-vulnerability-en/
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-5585
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-5458
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-4577
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-1874