Se ha revelado información sobre una nueva vulnerabilidad crítica que afecta a PHP y podría ser aprovechada para lograr la ejecución remota de código en ciertos casos. La vulnerabilidad, conocida como CVE-2024-4577, se caracteriza como una vulnerabilidad de inyección de argumentos CGI que afecta a todas las versiones de PHP instaladas en el sistema operativo Windows.
Según el investigador de seguridad de DEVCORE, esta deficiencia permite eludir las protecciones establecidas para otra falla de seguridad, CVE-2012-1823. Según el investigador de seguridad Orange Tsai, al implementar PHP, el equipo no observó la función de conversión de codificación ‘Best-Fit’ dentro del sistema operativo Windows. Esta omisión posibilita a atacantes no autenticados eludir la protección previa de CVE-2012-1823 mediante secuencias de caracteres específicas, lo que les permite ejecutar código arbitrario en servidores remotos de PHP a través del ataque de inyección de argumentos.
Después de una divulgación responsable el 7 de mayo de 2024, se ha lanzado una solución para la vulnerabilidad en las versiones de PHP 8.3.8, 8.2.20 y 8.1.29. DEVCORE advierte que todas las instalaciones de XAMPP en Windows son vulnerables por defecto cuando están configuradas para usar las localizaciones para chino tradicional, chino simplificado o japonés. Recomiendan que los administradores de sistemas abandonen el CGI de PHP obsoleto y opten por una solución más segura como Mod-PHP, FastCGI o PHP-FPM.
El investigador Orange Tsai comentó que esta vulnerabilidad, sorprendentemente simple, es al mismo tiempo intrigante. La Fundación Shadowserver informó que detectó intentos de explotación que involucran la vulnerabilidad contra sus servidores honeypot dentro de las 24 horas posteriores a la divulgación pública. Por su parte, watchTowr Labs pudo idear un exploit para CVE-2024-4577 y lograr la ejecución remota de código, lo que subraya la urgencia de aplicar los últimos parches.
El investigador Aliz Hammond calificó la vulnerabilidad como un «error desagradable con un exploit muy simple» e insta a los afectados por una de las localizaciones afectadas (chino simplificado o tradicional, o japonés) a tomar medidas rápidas, dado el alto riesgo de una explotación masiva debido a la baja complejidad del exploit.
Vía The Hacker News
