Vulnérabilité d’injection d’arguments via PHP CGI
PHP CGI est une méthode d’exécution de scripts PHP via l’interface de passerelle commune (CGI). CGI est un protocole permettant aux serveurs web d’exécuter des programmes externes et de transmettre la sortie au navigateur web du client.
La vulnérabilité libellée CVE-2024-4577 permettrait à un acteur malveillant non authentifié d’exécuter des codes arbitraires à distance sur des serveurs Windows avec des versions vulnérables de PHP. Cette vulnérabilité affecte également les serveurs XAMPP sous Windows en raison de la configuration par défaut qui expose le binaire PHP.
Cette vulnérabilité est classée critique avec un score CVSS de sévérité 9.8.
RISQUES DE SÉCURITÉ
- Atteinte à la confidentialité des données
- Atteinte à l’intégrité des données
- Atteinte à la disponibilité des données
- Exécution de commandes
SYSTÈMES AFFECTÉS
- Toutes Les versions de PHP antérieurs à la 8.3.8, 8.2.20 et 8.1.29
MESURES À PRENDRE
- Mettre à jour PHP vers les dernières versions disponibles : 8.3.8, 8.2.20 et 8.1.29.
Source : CERT FR