高危!PHP CGI Windows平台远程代码执行漏洞风险通告

于 2024-06-20 13:18:36 发布
阅读量504 收藏 4
点赞数 4
分类专栏: 漏洞风险通告 文章标签: php 开发语言 大数据 网络 安全 web安全 人工智能
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/y6857/article/details/139829863
版权

近日,亚信安全CERT监控到安全社区研究人员发布安全通告,披露了PHP CGI Windows平台存在远程代码执行漏洞(CVE-2024-4577)。该漏洞发生在PHP在Window平台运行且使用特定语系的情况下。攻击者可在无需登陆的情况下,构造恶意请求绕过CVE-2012-1823 的保护,执行任意PHP代码。

目前厂商官方已发布修复版本。亚信安全CERT建议客户升级至最新版本。如果无法升级至新版本,并且PHP运行于Windows平台上,建议关闭php-cgi的使用。

PHP CGI Windows是指在Windows操作系统上使用CGI模式来运行PHP的方式。在这种模式下,Web服务器通过CGI协议将请求传递给PHP解释器,PHP解释器处理请求后将结果返回给Web服务器,然后Web服务器再将结果发送给客户端浏览器。

漏洞编号、类型、等级

  • CVE-2024-4577

  • 远程代码执行漏洞

  • 高危

漏洞状态

受影响版本

  • PHP @(8.3 , 8.3.8)

  • PHP @(8.2 , 8.2.20)

  • PHP @(-∞, 8.1.29)

产品解决方案

目前,亚信安全怒狮引擎已新增检测规则,请及时更新TDA、AE产品的特征库到最新版本,更新方式如下:

  • TDA产品在线更新方法:登录系统-》系统管理-》系统升级-》特征码更新;

  • AE产品在线更新方法:登录系统-》管理-》更新-》特征码更新。

TDA、AE产品离线升级PTN包下载链接如下:

修复建议

目前,官方已有相关公告信息修复该漏洞,建议受影响的PHP尽快升级至最新版本。此外,针对PHP的其他版本,官方已不再维护,建议根据实际情况进行缓解措施。

PHP For Windows: Binaries and sources Releases

注意:本文发布的补丁下载链接均源自各原厂官方网站。尽管我们努力确保官方资源的安全性,但在互联网环境中,文件下载仍存在潜在风险。为保障您的设备安全与数据隐私,敬请您在点击下载前谨慎核实其安全性和可信度。

参考链接

  • https://github.com/abetlen/llama-cpp-python/commit/b454f40a9a1787b2b5659cd2cb00819d983185df

  • https://github.com/abetlen/llama-cpp-python/releases/tag/v0.2.73

  • https://nvd.nist.gov/vuln/detail/CVE-2024-34359

  • https://github.com/abetlen/llama-cpp-python/security/advisories/GHSA-56xg-wfcc-g829

  • https://ti.qianxin.com/vulnerability/detail/350828

博客
倒计时3天!C3安全大会·2025直播预约开放啦!
05-21 98
安全+数智 AI赢未来
博客
2025年网络安全行业全景图 | 亚信安全实力占据65领域
05-09 381
亚信安全凭借在终端安全、云安全、AI安全、数据安全、高级威胁治理等领域的核心技术优势,入选其中的13大安全领域,65个细分领域。网络与通信安全、计算环境安全、身份与访问安全、数据安全、应用与业务安全、云安全、AI安全、物联网安全、移动安全、工业互联网安全、安全支撑技术与体系、安全管理与运营、网络安全服务。相比第十一版全景图,第十二版全景图增加“AI安全”一级分类。第十二版全景图涵盖12个二级细分领域,亚信安全入围“数据脱敏”、“数据防泄露”、“大数据保护”、“数据分类分级”等10个细分领域。
博客
亚信安全与联通数科达成战略合作,成立联信事业部
04-23 453
4月22日,亚信安全与联通数字科技有限公司(以下简称“联通数科”)正式签署战略合作协议,双方宣布将联合成立“联信事业部”,仪式上,联通数科董事长孙江山与亚信安全董事长何政为“联信事业部”成立揭牌,联通数字科技有限公司高级副总裁澹台新谱,亚信安全董事、高级副总裁刘东红代表双方签署战略合作协议。今天亚信安全与中国联通开启了合作的新篇章,从资源整合到价值共创,实现数据化、智能化、模块化、一体化、轻量化的平台战略,形成安全+运营商、安全+数智一体化创新实践的新典范,共同谱写中国网络安全产业高质量发展的新篇章。
博客
9.4分漏洞!Next.js Middleware鉴权绕过漏洞安全风险通告
03-26 603
借助 Next.js,开发者可以在不改变 React 使用习惯的前提下,结合服务端渲染和静态导出等特性,快速构建复杂的 Web 应用程序。今日,亚信安全CERT监控到安全社区研究人员发布安全通告,Next.js 存在一个授权绕过漏洞,编号为 CVE-2025-29927。目前亚信安全怒狮引擎已第一时间新增了检测规则,支持CVE-2025-29927漏洞的检测,请及时更新TDA产品的特征库到最新版本。官方已发布安全补丁通告,建议受影响的用户到官网下载补丁升级到最新版本。CVSS3.0:9.1分。
博客
2025年C3安全大会如约而至!
03-25 261
三者交织出智能时代的新生存法则:唯有让安全根植于数智化的基因,成为平衡创新与稳健的调节器,才能为产业的未来带来真正“向新而生”强大生命力。​2025 C3安全大会,将汇聚知名学者专家、行业大咖、AI领军企业、研究机构和产业上下的重要力量聚首初夏长江之畔,展开一场“安全+数智”的思想碰撞,形成线下+云端的共振。大会同期还将举办多场活动,从技术创新、行业落地、前沿洞察等多层面,解读安全+数智、AI的紧密联系,捕捉当下发展的核心趋势与关键需求,共建AI未来的发展共同体。安全与发展的天平该如何平衡?
博客
Windows用户注意!快捷方式被APT组织滥用,警惕零日漏洞
03-21 559
在当前充满挑战的网络安全环境下,唯有依靠持续的技术创新与积极的防御策略,我们才能有效捍卫数字世界,抵御APT组织的侵害。用户在查看.lnk文件的属性时,无法看到隐藏的恶意命令,从而执行了攻击者的恶意代码。该漏洞的利用不仅增加了数据盗窃和网络间谍活动的风险,还对全球多个行业的组织构成了严重的威胁。这种文件类型受到攻击者的青睐,因为可以在.lnk文件的Target字段中嵌入命令行参数,从而在受害者的机器上执行代码。该漏洞利用的真正目的是,隐藏.lnk文件将要执行的命令行参数,使用户无法看到执行的参数。
博客
重磅发布!亚信&阿里云大模型一体机,让百行千业用上普惠AI
03-20 363
近两年,亚信科技在通信、政务、能源、石化、电力、航空等领域打造出众多大模型交付标杆案例,锻造出一支成熟的大模型交付团队,沉淀出包括模型纳管平台在内的系列交付工具和方法论,形成了覆盖需求分析、数据清洗、模型调优、模型训练、模型蒸馏、算力部署到模型应用的“端到端”交付服务体系。解决方案提供知识问答、公文写作、智能客服、报告生成、招投标助手、智能诊断、文本审查等多种特色应用,广泛适用于政务、通信、电力、石化、交通、金融、工业制造等领域。如果您的大模型应用也遇到这些问题,那么现在妥了!
博客
​315晚会名单“爆料”竟是病毒陷阱?这类链接千万别点!
03-14 436
同时,当钓鱼事件发生后,威胁情报团队将根据钓鱼网站的特征进行全面狩猎和威胁拓线,捕获更多相同特性的钓鱼网站IOC,并通过威胁指标评估引擎第一时间将检测能力传输至产品侧,由点及面解决安全威胁,一旦发现同类威胁,将立刻触发告警并通知安全运营工程师及时响应处理。随着2025年315晚会的临近,不法分子们也按捺不住开始“冲业绩”,在各类网盘、社群甚至通过邮件发送所谓的“2025年315晚会上榜企业名单”、“黑幕爆料文档”为噱头的邮件、社群链接或网盘分享。同时,开启实时保护功能,可以及时发现并阻止潜在的威胁。
博客
业界首发!亚信安全DeepSeek云环境安全加固解决方案正式发布
03-14 888
产品采用“统一客户端、统一管理端”,提供资产风险加固、主机入侵检测及防护、防病毒、深度包检测、漏洞及补丁管理、自适应微隔离六大功能模块。面对广泛的大模型安全需求,DeepSecurity通过核心能力风险发现,漏洞加固,入侵检测,防病毒,通过一个控制台,一个客户端为大模型的运行环境提供了风险动态监控与评估,风险收敛即时修复,攻击行为精准有效拦截,病毒实时查杀阻断,不仅满足基础设施层安全要求,还可为基础设施之上的模型层、平台层以及应用层提供安全防护能力,实现全方位保护AI运行环境,有效保障AI业务连续性。
博客
EDR的坑,你“踩了”几个?
03-11 301
实际场景中的社工钓鱼和远控程序入口进行文件下载传输的监控,对触发异常行为的可执行程序进行自动实时拦截,无需专业的EDR运营服务人员即可像使用防病毒一样简单使用EDR。在社工钓鱼、远控程序等黑客最广泛利用的入口处进行EDR攻击链和异常行为监控,实现精准检测和自动实时拦截,领先攻击者一步阻断威胁。面对上述困境,亚信安全新一代终端安全,独有终端立体化防御,让安全更简单,真正实现开箱即用。以立体化防御体系构建开箱即用的高效EDR检测能力,像使用防病毒软件一样简单使用EDR。对运营人员专业技能要求过高?
博客
亚信安全发布第七期《勒索家族和勒索事件监控报告》
03-10 1055
本周全球共监测到勒索事件121起
博客
亚信安全发布2024威胁年报和2025威胁预测
03-06 692
亚信安全发布2024威胁年报和2025威胁预测
博客
亚信安全正式接入DeepSeek
02-12 1286
DeepSeek
博客
2024信创答卷:技术引领,荣誉加持,构筑数字世界安全防线
01-17 1241
亚信安全已经与多家国产服务器/终端机厂商、操作系统厂商,完成了产品兼容性适配,取得了500+张互认证书,产品覆盖DS、TrustOne、DDEI 、DHCP、上网行为审计、分布式攻击系统、DLP、防火墙、TSM 、DBA、API、防病毒、IPS、数据脱敏、抗D等产品。亚信安全凭借在信创安全领域的长期耕耘与卓越贡献,荣获2024(第六届)创新发展论坛金i奖——2024年度信创安全杰出贡献企业,这是对亚信安全在推动信创安全产业发展、保障国家信息安全方面所做努力的高度认可。整机厂商:联想开天、清华同方等;
博客
亚信安全2025年第1期《勒索家族和勒索事件监控报告》
01-03 1224
1.5T数据被窃取!
博客
致奋斗 | 回望亚信安全2024年度十大记忆
12-31 169
亚信安全2024年度十大记忆
博客
亚信安全出席华为智慧办公生态峰会 安全赋能高效办公新时代
12-30 447
亚信安全受邀“华为智慧办公生态峰会”并发表精彩演讲
博客
亚信安全携手信创伙伴发布《信息技术应用创新2025十大发展趋势》
12-27 733
亚信安全受邀2024通明湖论坛
博客
亚信安全与方天股份达成战略合作,双向奔赴助力数字化转型
12-21 577
亚信安全与方天股份在数字化安全领域迈出了坚实的一步
博客
亚信安全举办“判大势 悟思想 强实践”主题党日活动
12-20 519
她希望亚信安全的所有党员同志能够将党课所学的理念内化于心、外化于行,切实增强使命感与责任感,充分发挥党员的先锋模范作用,为推动各项工作的落实贡献自己的智慧与力量,以实际行动助力网络安全行业的发展,为国家的数字化建设添砖加瓦。亚信安全将始终秉承 “护航产业互联” 的使命,坚守以守护 “安全数字世界” 为愿景,充分发挥自身在网络安全和数智化领域的优势,为国家关键基础设施的安全稳定运行保驾护航,为千行百业的数字化转型提供有力支撑,在推动我国网络安全和信息化事业发展上贡献更大的力量。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值