CVE-2024-4577
Une nouvelle faille de sécurité critique a été découverte dans PHP : CVE-2024-4577 ! En l’exploitant, un attaquant peut exécuter du code malveillant à distance sur le serveur Windows utilisé en tant que serveur Web. Faisons le point sur cette menace.
L’équipe de développement de PHP a corrigé plusieurs failles de sécurité dans son moteur de scripts PHP. L’une de ces vulnérabilités, associées à la référence CVE-2024-4577 mérite une attention particulière.
Découverte par le chercheur en sécurité Orange Tsai de DEVCORE, cette vulnérabilité d’injection d’arguments dans CGI affecte toutes les versions de PHP lorsque ce dernier est installé sur un serveur Windows. Pour être plus précis, toutes les versions de PHP, de 5.X à la dernière version 8.3.X sont vulnérables. Le problème, c’est que de nombreuses versions vulnérables ne sont plus prises en charge et ne pourront pas bénéficier d’un correctif de sécurité.
« Lors de l’implémentation de PHP, l’équipe n’a pas remarqué la fonctionnalité Best-Fit de conversion d’encodage dans le système d’exploitation Windows. Cette omission permet à des attaquants non authentifiés de contourner la protection précédente de CVE-2012-1823 par des séquences de caractères spécifiques.« , précise le chercheur en sécurité dans son rapport.
Vous l’aurez compris, cette nouvelle vulnérabilité permet d’outrepasser un correctif de sécurité introduit il y a plus de 10 ans pour corriger la faille de sécurité CVE-2012-1823 présente dans PHP-CGI. En exploitant cette vulnérabilité, un attaquant peut compromettre le serveur Web.