【知道创宇404实验室】警惕PHP CVE-2024-4577 对XAMPP Windows 版本影响

文章预览

2024年6月6日，PHP官方发布新版本（8.3.8、8.2.20、8.1.29）中修复 CVE-2024-4577 PHP CGI Windows平台远程代码执行漏洞。该漏洞可以在Windows平台下使用PHP-CGI模式运行，并在使用语系为繁体中文950、日文932、简体中文936的环境下导致远程任意代码执行。 经知道创宇404实验室测试发现，目前大部分的互联网，大部分PHP环境默认不再使用PHP-CGI模式，影响面有限。但是值得注意的是，著名建站集成软件包XAMMP for Windows版本（使用语系为繁体中文950、日文932、简体中文936）默认配置下受该漏洞影响（知道创宇404实验室已经复现并确定）。 由此建议相关XAMMP环境引起重视，注意安全防御，目前知道创宇旗下云防御产品创宇盾无需升级即可防御该漏洞。 修复建议： 目前XAMPP官方还没有集成最新的PHP版本，仍然使用版本为：XAMPP for Windows for PHP versions 8.2.12, 8.1.25 and 8.0.30 建议 ………………………………