歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
開發者必看!PHP 最新安全更新修復嚴重 RCE 漏洞
2024 / 06 / 11
編輯部
全球主要網站使用語言之一 PHP 於 6 日晚間發布最新漏洞修補安全更新,協助使用者緩解重大 RCE 漏洞 CVE-2024-4577 所帶來的威脅。DEVCORE 作為首先揭露此零時差漏洞的團隊,建議Windows 繁體中文、簡體中文、日文三種語系的使用者,儘速依照 PHP 公告建議,將系統更新至 8.3.8、8.2.20、8.1.29 版本,避免漏洞遭有心人士利用,導致個人或企業的機敏資料外洩或更嚴重的資產損失危機。
程式語言 PHP 存在重大漏洞,DEVCORE 建議使用者儘速更新
PHP 為最常見網站使用語言之一,數據顯示全球有近八成網站使用該語言撰寫而成。PHP 於 6 日釋出的最新安全更新,已修補由 DEVCORE 研究團隊回報的重大 RCE(Remote Code Execution,遠端程式碼執行)零時差漏洞(Zero-Day Vulnerability,亦稱 0-day)CVE-2024-4577,且該漏洞具高度的易用性及嚴重性。
該漏洞源自於 PHP 程式語言設計時的疏失,允許未認證的攻擊者在遠端伺服器執行任意程式碼,漏洞影響範圍廣泛,包含安裝於 Windows 作業系統上繁體中文、簡體中文、日文三個語系的所有 PHP 版本。建議使用者應盡快更新至 PHP 官方最新 8.3.8、8.2.20、8.1.29 版本,降低資訊外洩的風險。非上述三語系使用情境的使用者,仍需全面盤點資產、確認使用情境並將 PHP 更新至最新版本。
同時,受影響的情境也包含所有版本的 XAMPP for Windows 安裝的預設設定。XAMPP作為便於開發者整合、使用的軟體安裝包,是在 Windows 作業系統上使用 PHP 的主要解決方案之一,使用者可以運用 XAMPP 輕易地建立網頁伺服器,Windows 版本每月下載量超越 200 萬次,至今累計下載量更已突破上億次。由於 XAMPP 尚未針對此漏洞釋出相對應的更新安裝檔,使用者如確認自身未使用 PHP CGI 功能,仍可修改 Apache Httpd 設定檔,以避免暴露在弱點中。
領先全球揭露並回報重大漏洞!DEVCORE 深厚的前瞻研究能量鎮守開發者資安
DEVCORE 研究團隊致力於研究攻擊技術及戰略,鑽研各類型攻擊手法,長期針對 Microsoft、Amazon、Google、Netflix 等全球通用的產品或系統,找出對世界具重大影響的潛在漏洞。本次回報遵循責任揭露(Responsible Disclosure)原則,發現後於 2024 年 5 月 7 日第一時間向 PHP 回報存在此問題,以避免該漏洞遭有心人士利用,造成全球用戶重大損失。
DEVCORE 首席資安研究員蔡政達(Orange Tsai)指出,「由於 PHP 在網站生態使用極為廣泛、而且該弱點易於重現,我們在發現的當下,就認知到弱點影響性相當高,並將它標記為『嚴重』、在第一時間回報給官方請求修補。希望未來持續透過團隊的研究能力,提前找到更多的資安弱點,運用我們的力量,為網路安全、世界再多盡一份心力。」
PHP安全
RCE 漏洞
DEVCORE
最新活動
2025.02.19
2025資安365年會
2025.02.11
【2025 叡揚資安趨勢講堂】
2025.02.15
2025年ipas資訊安全工程師(初級/中級)-能力培訓班
看更多活動
大家都在看
Cloudflare CDN漏洞恐洩露用戶位置資訊
思科修補Meeting Management重大權限漏洞,可導致遠端提權攻擊
美國制裁中國資安公司涉及「鹽颱風」駭客集團入侵事件
Cloudflare緩解史上最大規模5.6Tbps DDoS攻擊,台灣是攻擊熱區
Sophos : 新俄羅斯攻擊行動濫用 Microsoft Teams 、遠端管理工具竊取資料與勒索軟體攻擊
資安人科技網
文章推薦
Microsoft Outlook發現嚴重RCE漏洞,已遭駭客利用攻擊
駭客利用 SimpleHelp RMM 漏洞發動持續性攻擊與勒索軟體入侵
報告:每174次DNS解析就有一次是惡意!DNS防護成主動資安關鍵之一