開發者必看！PHP 最新安全更新修復嚴重 RCE 漏洞

全球主要網站使用語言之一 PHP 於 6 日晚間發布最新漏洞修補安全更新，協助使用者緩解重大 RCE 漏洞 CVE-2024-4577 所帶來的威脅。DEVCORE 作為首先揭露此零時差漏洞的團隊，建議Windows 繁體中文、簡體中文、日文三種語系的使用者，儘速依照 PHP 公告建議，將系統更新至 8.3.8、8.2.20、8.1.29 版本，避免漏洞遭有心人士利用，導致個人或企業的機敏資料外洩或更嚴重的資產損失危機。
 
程式語言 PHP 存在重大漏洞，DEVCORE 建議使用者儘速更新
PHP 為最常見網站使用語言之一，數據顯示全球有近八成網站使用該語言撰寫而成。PHP 於 6 日釋出的最新安全更新，已修補由 DEVCORE 研究團隊回報的重大 RCE（Remote Code Execution，遠端程式碼執行）零時差漏洞（Zero-Day Vulnerability，亦稱 0-day）CVE-2024-4577，且該漏洞具高度的易用性及嚴重性。
 
該漏洞源自於 PHP 程式語言設計時的疏失，允許未認證的攻擊者在遠端伺服器執行任意程式碼，漏洞影響範圍廣泛，包含安裝於 Windows 作業系統上繁體中文、簡體中文、日文三個語系的所有 PHP 版本。建議使用者應盡快更新至 PHP 官方最新 8.3.8、8.2.20、8.1.29 版本，降低資訊外洩的風險。非上述三語系使用情境的使用者，仍需全面盤點資產、確認使用情境並將 PHP 更新至最新版本。
 
同時，受影響的情境也包含所有版本的 XAMPP for Windows 安裝的預設設定。XAMPP作為便於開發者整合、使用的軟體安裝包，是在 Windows 作業系統上使用 PHP 的主要解決方案之一，使用者可以運用 XAMPP 輕易地建立網頁伺服器，Windows 版本每月下載量超越 200 萬次，至今累計下載量更已突破上億次。由於 XAMPP 尚未針對此漏洞釋出相對應的更新安裝檔，使用者如確認自身未使用 PHP CGI 功能，仍可修改 Apache Httpd 設定檔，以避免暴露在弱點中。
 
領先全球揭露並回報重大漏洞！DEVCORE 深厚的前瞻研究能量鎮守開發者資安
DEVCORE 研究團隊致力於研究攻擊技術及戰略，鑽研各類型攻擊手法，長期針對 Microsoft、Amazon、Google、Netflix 等全球通用的產品或系統，找出對世界具重大影響的潛在漏洞。本次回報遵循責任揭露（Responsible Disclosure）原則，發現後於 2024 年 5 月 7 日第一時間向 PHP 回報存在此問題，以避免該漏洞遭有心人士利用，造成全球用戶重大損失。
 
DEVCORE 首席資安研究員蔡政達（Orange Tsai）指出，「由於 PHP 在網站生態使用極為廣泛、而且該弱點易於重現，我們在發現的當下，就認知到弱點影響性相當高，並將它標記為『嚴重』、在第一時間回報給官方請求修補。希望未來持續透過團隊的研究能力，提前找到更多的資安弱點，運用我們的力量，為網路安全、世界再多盡一份心力。」