Kritická zranitelnost PHP vystavuje miliony serverů riziku

Společnost DEVCORE objevila kritickou zranitelnost RCE v programovacím jazyce PHP.

Příčina této zranitelnosti spočívá v přehlédnutí funkce Best-Fit pro převod kódování v operačním systému Windows při implementaci jazyka PHP. Toto nedopatření umožňuje útočníkům obejít ochranu implementovanou pro předchozí zranitelnost CVE-2012-1823 prostřednictvím specifických znakových sekvencí. V důsledku toho lze na vzdálených serverech PHP spustit libovolný kód prostřednictvím útoku typu argument injection, což umožňuje neoprávněný přístup a ovládání.

Zranitelnost CVE-2024-4577 se sice týká všech verzí PHP v systému Windows, ale nejvíce postižené jsou verze, které jsou stále v aktivní údržbě:

• PHP 8.3 (verze před 8.3.8)
• PHP 8.2 (verze před 8.2.20)
• PHP 8.1 (verze před 8.1.29)

DEVCORE klasifikoval tuto zranitelnost jako "kritickou" vzhledem k jejímu rozsáhlému dopadu a relativně snadnému zneužití. Firma problém neprodleně nahlásila vývojovému týmu PHP, který 6. června 2024 vydal záplaty. Je důležité poznamenat, že větve PHP 8.0, PHP 7 a PHP 5 jsou nyní End-of-Life a již nejsou udržovány.

Uživatelé XAMPP, populárního vývojového prostředí PHP pro Windows, jsou obzvláště zranitelní kvůli výchozí konfiguraci, která vystavuje binární soubor PHP. XAMPP zatím nevydal aktualizaci pro tuto zranitelnost, ale společnost DEVCORE poskytla návod, jak riziko dočasně zmírnit.

Bezpečnostní experti zdůrazňují naléhavost opravy této zranitelnosti vzhledem k tomu, že PHP je na webu všudypřítomné. Podle společnosti W3Techs téměř 76,2 % všech webových stránek používá na straně serveru jazyk PHP. To znamená, že pokud nebude zranitelnost urychleně odstraněna, mohou být ohroženy miliony webových stránek.