歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
開發者必看!PHP 最新安全更新修復嚴重 RCE 漏洞
2024 / 06 / 11
編輯部
全球主要網站使用語言之一 PHP 於 6 日晚間發布最新漏洞修補安全更新,協助使用者緩解重大 RCE 漏洞 CVE-2024-4577 所帶來的威脅。DEVCORE 作為首先揭露此零時差漏洞的團隊,建議Windows 繁體中文、簡體中文、日文三種語系的使用者,儘速依照 PHP 公告建議,將系統更新至 8.3.8、8.2.20、8.1.29 版本,避免漏洞遭有心人士利用,導致個人或企業的機敏資料外洩或更嚴重的資產損失危機。
程式語言 PHP 存在重大漏洞,DEVCORE 建議使用者儘速更新
PHP 為最常見網站使用語言之一,數據顯示全球有近八成網站使用該語言撰寫而成。PHP 於 6 日釋出的最新安全更新,已修補由 DEVCORE 研究團隊回報的重大 RCE(Remote Code Execution,遠端程式碼執行)零時差漏洞(Zero-Day Vulnerability,亦稱 0-day)CVE-2024-4577,且該漏洞具高度的易用性及嚴重性。
該漏洞源自於 PHP 程式語言設計時的疏失,允許未認證的攻擊者在遠端伺服器執行任意程式碼,漏洞影響範圍廣泛,包含安裝於 Windows 作業系統上繁體中文、簡體中文、日文三個語系的所有 PHP 版本。建議使用者應盡快更新至 PHP 官方最新 8.3.8、8.2.20、8.1.29 版本,降低資訊外洩的風險。非上述三語系使用情境的使用者,仍需全面盤點資產、確認使用情境並將 PHP 更新至最新版本。
同時,受影響的情境也包含所有版本的 XAMPP for Windows 安裝的預設設定。XAMPP作為便於開發者整合、使用的軟體安裝包,是在 Windows 作業系統上使用 PHP 的主要解決方案之一,使用者可以運用 XAMPP 輕易地建立網頁伺服器,Windows 版本每月下載量超越 200 萬次,至今累計下載量更已突破上億次。由於 XAMPP 尚未針對此漏洞釋出相對應的更新安裝檔,使用者如確認自身未使用 PHP CGI 功能,仍可修改 Apache Httpd 設定檔,以避免暴露在弱點中。
領先全球揭露並回報重大漏洞!DEVCORE 深厚的前瞻研究能量鎮守開發者資安
DEVCORE 研究團隊致力於研究攻擊技術及戰略,鑽研各類型攻擊手法,長期針對 Microsoft、Amazon、Google、Netflix 等全球通用的產品或系統,找出對世界具重大影響的潛在漏洞。本次回報遵循責任揭露(Responsible Disclosure)原則,發現後於 2024 年 5 月 7 日第一時間向 PHP 回報存在此問題,以避免該漏洞遭有心人士利用,造成全球用戶重大損失。
DEVCORE 首席資安研究員蔡政達(Orange Tsai)指出,「由於 PHP 在網站生態使用極為廣泛、而且該弱點易於重現,我們在發現的當下,就認知到弱點影響性相當高,並將它標記為『嚴重』、在第一時間回報給官方請求修補。希望未來持續透過團隊的研究能力,提前找到更多的資安弱點,運用我們的力量,為網路安全、世界再多盡一份心力。」
PHP安全
RCE 漏洞
DEVCORE
最新活動
2025.09.10
【從外部到內部:AI如何重新定義資安攻防戰線】實體研討會
2025.08.26
漢昕科技X線上資安黑白講【CDN 驅動的資安革新:Cloudflare 與數位部的實戰啟示】2025/8/26開講!
2025.09.05
從零開始學IT網路 – 5 天帶你掌握 IT 網路核心、拿下國際認證!
2025.09.11
9/11-9/12【API 安全開發指南:漏洞修復與授權管理實務】兩日精華班
看更多活動
大家都在看
最新攻擊手法Drive-by Cache 竊取人權網站訪客資料
GPT-5發布不到24小時即被破解:多重零點擊攻擊威脅企業與物聯網環境
Apple緊急修補CVE-2025-43300零時差漏洞 已遭利用於「極度複雜」定向攻擊
荷蘭國家資安中心警告:Citrix Netscaler漏洞CVE-2025-6543遭利用,多個重要機構遭入侵
資安署25年7月資安月報:第七期「國家資通安全發展方案」啟動;可攜式裝置成攻擊媒介
資安人科技網
文章推薦
亞洲組織要求供應商滿足資安標準 方能建立業務合作關係
中國Silk Typhoon駭客組織利用雲端信任關係發動供應鏈攻擊
WithSecure突破零日偵測技術 EDR行為資料導入曝險管理主動防禦未知威脅