Skip to content
Nouveau rapport : Obtenez votre exemplaire du rapport 2024 sur l'état de l'internet ! | Télécharger aujourd'hui
Avis

10 juin 2024 : Vulnérabilité d'injection d'arguments dans PHP-CGI pouvant conduire à l'exécution de code à distance

  • Nom et description du problème : Vulnérabilité d'injection d'argument PHP-CGI. Il s'agit d'une vulnérabilité critique d'injection d'arguments dans PHP qui peut être exploitée pour réaliser une exécution de code à distance (RCE) sur les systèmes affectés.
  • Date de publication : 6 juin 2024
  • CVE-ID et score CVSS : CVE-2024-4577, score CVSS : 9.8 (Critique)
  • CWE : CWE-78 Neutralisation incorrecte des éléments spéciaux utilisés dans une commande OS
  • Description de l'actif: La vulnérabilité affecte les installations PHP fonctionnant sur les systèmes d'exploitation Windows avec PHP fonctionnant en mode CGI ou exposant le binaire PHP dans les versions suivantes :
    • PHP 8.3 < 8.3.8
    • PHP 8.2 < 8.2.20
    • PHP 8.1 < 8.1.29
  • Impact de la vulnérabilité: Une exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant non authentifié d'exécuter un code arbitraire sur le serveur PHP vulnérable, conduisant à une compromission complète du système.
  • Détails de l'exploitation : La vulnérabilité est le résultat d'erreurs dans les conversions d'encodage de caractères, affectant spécifiquement la fonction "Best Fit" sur Windows. Elle permet à un attaquant de contourner les protections précédentes telles que CVE-2012-1823 par le biais de séquences de caractères spécifiques, permettant ainsi des attaques par injection d'arguments. Ce problème n'est actuellement pas dans CISA KEV, bien que ShadowServer ait observé des tentatives d'exploitation sur ses capteurs(https://infosec.exchange/@shadowserver/112575314920464732).
  • Disponibilité du correctif : Les versions 8.3.8, 8.2.20, et 8.1.29 ont été publiées par PHP le 6 Juin 2024 pour corriger cette vulnérabilité : https://www.php.net/. La mise à jour vers ces versions est la solution recommandée. Pour les systèmes qui ne peuvent pas être mis à jour immédiatement, des mesures d'atténuation temporaires telles que la modification des règles de réécriture d'Apache ou la désactivation de la fonctionnalité PHP-CGI sont fournies.
  • Empreinte mondiale : Censys observe environ 458 800 expositions d'instances PHP potentiellement vulnérables au 9 juin 2024 - bien qu'il faille noter qu'il s 'agit probablement d'une surestimation de l'impact réel de cette vulnérabilité, étant donné que nous ne pouvons pas détecter si le mode CGI est activé. La plupart de ces expositions sont géolocalisées aux États-Unis, suivies par l'Allemagne.
Carte de Censys- Instances PHP potentiellement vulnérables visibles le 9 juin 2024.

Carte des instances PHP potentiellement vulnérables Censys-Visible le 9 juin 2024 - Notez que cette carte ne tient pas compte de l'activation ou non des CGI (créée avec kepler.gl)

 

Solutions de gestion de la surface d'attaque
En savoir plus