Detalhes emergiram sobre uma nova falha crítica de segurança que impacta o PHP e que poderia ser explorada para alcançar a execução remota de código em determinadas circunstâncias. A vulnerabilidade, rastreada como CVE-2024-4577, foi descrita como uma vulnerabilidade de injeção de argumento CGI afetando todas as versões do PHP instaladas no sistema operacional Windows. Segundo o pesquisador de segurança DEVCORE, a falha permite contornar as proteções implementadas para outra vulnerabilidade de segurança, CVE-2012-1823. “Ao implementar o PHP, a equipe não percebeu a funcionalidade de ‘Melhor Encaixe’ da conversão de codificação dentro do sistema operacional Windows”, disse o pesquisador de segurança Orange Tsai. “Essa falha permite que atacantes não autenticados contornem a proteção anterior do CVE-2012-1823 através de sequências de caracteres específicos. Códigos arbitrários podem ser executados em servidores PHP remotos através do ataque de injeção de argumento.” Após a divulgação responsável em 7 de maio de 2024, uma correção para a vulnerabilidade foi disponibilizada nas versões do PHP 8.3.8, 8.2.20 e 8.1.29. DEVCORE alertou que todas as instalações XAMPP no Windows são vulneráveis por padrão quando configuradas para utilizar os locais para chinês tradicional, chinês simplificado ou japonês. A empresa de Taiwan também recomenda que os administradores abandonem o PHP CGI desatualizado e optem por uma solução mais segura, como Mod-PHP, FastCGI ou PHP-FPM. “Essa vulnerabilidade é incrivelmente simples, mas é isso que a torna interessante”, disse Tsai. “Quem poderia imaginar que uma correção, que foi revisada e considerada segura nos últimos 12 anos, poderia ser contornada devido a um recurso mínimo do Windows?” A Shadowserver Foundation, em uma postagem compartilhada no X, disse que já detectou tentativas de exploração envolvendo a vulnerabilidade contra seus servidores de honeypot dentro de 24 horas após a divulgação pública. watchTowr Labs disse ter elaborado um exploit para CVE-2024-4577 e alcançado a execução remota de código, tornando imperativo que os usuários se apressem para aplicar as últimas atualizações. “Um bug desagradável com um exploit muito simples”, disse o pesquisador de segurança Aliz Hammond. “Aqueles que operam em uma configuração afetada sob um dos locais afetados – chinês (simplificado, ou tradicional) ou japonês – são instados a fazer isso o mais rápido possível, pois há uma alta chance de o bug ser explorado em massa devido à baixa complexidade do exploit.”