近日，国家信息安全漏洞库（CNNVD）收到关于PHP 操作系统命令注入漏洞（CNNVD-202406-852、CVE-2024-4577）情况的报送。未经身份认证的攻击者可以使用特定的字符序列绕过防护，通过参数注入的方式在目标服务器上远程执行代码。PHP多个版本受该漏洞影响。目前，PHP官方已发布新版本修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。

一、漏洞介绍

PHP是一种在服务器端执行的脚本语言，适用于开发动态网站和Web应用程序。未经身份认证的攻击者可以使用特定的字符序列绕过防护，通过参数注入攻击在目标PHP服务器上远程执行代码，获取敏感信息或造成服务器崩溃。

二、危害影响

未经身份认证的攻击者可以使用特定的字符序列绕过防护，通过参数注入的方式在目标服务器上远程执行代码。PHP 8.1至8.1.29之前版本，PHP 8.3至8.3.8之前版本，PHP 8.2至8.2.20之前版本均受该漏洞影响。

三、修复建议

目前，PHP官方已发布新版本修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。官方更新版本下载链接：

https://www.php.net/downloads.php

本通报由CNNVD技术支撑单位——奇安信网神信息技术（北京）股份有限公司、浙江极安信息科技有限公司、北京山石网科信息技术有限公司、南京禾盾信息科技有限公司、深圳建安润星安全技术有限公司、天津市兴先道科技有限公司、上海戟安科技有限公司、贵州泰若数字科技有限公司、北京安天网络安全技术有限公司、工业和信息化部电子第五研究所、广州纬安科技有限公司、锐捷网络股份有限公司、深信服科技股份有限公司、北京天融信网络安全技术有限公司、深圳市网安计算机安全检测技术有限公司、新华三技术有限公司、华为技术有限公司、苏州棱镜七彩信息科技有限公司、北京长亭科技有限公司、北京国信城研科学技术研究院、永信至诚科技集团股份有限公司、远江盛邦(北京)网络安全科技股份有限公司、马鞍山书拓安全科技有限公司、北京网藤科技有限公司、北京华云安信息技术有限公司、河南灵创电子科技有限公司、中孚安全技术有限公司、长扬科技（北京）股份有限公司上海斗象信息科技有限公司、北京天防安全科技有限公司、浙江极安信息科技有限公司、建信金融科技有限责任公司安全攻防实验室、杭州默安科技有限公司等技术支撑单位提供支持。

CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD联系。联系方式: cnnvdvul@itsec.gov.cn

声明：本文来自CNNVD安全动态，版权归作者所有。文章内容仅代表作者独立观点，不代表士冗科技立场，转载目的在于传递更多信息。如有侵权，请联系 service@expshell.com。