本文共 551 字，大约阅读时间需要 1 分钟。

产品简介

PHP-CGI 是一种用于在 Web 服务器上运行 PHP 脚本的接口。它通过 CGI（公共网关接口）将 PHP 解释器与 Web 服务器连接，实现了 PHP 与网络环境的互动。

漏洞概述

2024 年 6 月，PHP 官方发布了新版本，修复了 PHP-CGI 中一个远程代码执行漏洞。由于该漏洞无前置条件且易于利用，建议所有使用受影响版本的企业尽快升级修复，以确保安全。

漏洞成因

PHP 在设计 PHP-CGI 时忽略了 Windows 系统的 Best-Fit 字符转换特性。在特定语言环境（如简体中文 936、繁体中文 950、日文 932 等）下，攻击者可构造特殊查询字符串。这些字符在 URL 解码后可能包含非 ASCII 字符，在 Windows 系统上会被映射为连字符，从而绕过 CVE-2012-1823 和 CVE-2012-2311 的补丁，利用 CGI 模式执行任意 PHP 代码。

漏洞影响

该漏洞可能在受影响环境下执行任意 PHP 代码，从而获取操作系统权限。最严重的情况下，可能导致服务器完全接管，敏感数据泄露，或将服务器转化为其他攻击的跳板。

影响范围

PHP 8.3 是该漏洞的直接影响版本。所有使用该版本的系统均需升级至最新修复版本，以防止潜在的安全风险。