漏洞

全球主要網站使用語言之一 PHP 於本月 6 日晚間發布最新漏洞修補安全更新，協助使用者緩解重大 RCE 漏洞 CVE-2024-4577 所帶來的威脅。DEVCORE 作為首先揭露此零時差漏洞的團隊，建議Windows 繁體中文、簡體中文、日文三種語系的使用者，儘速依照 PHP 公告建議，將系統更新至 8.3.8、8.2.20、8.1.29 版本，避免漏洞遭有心人士利用，導致個人或企業的機敏資料外洩或更嚴重的資產損失危機。

PHP 為最常見網站使用語言之一，數據顯示全球有近八成網站使用該語言撰寫而成^[1]。PHP 於 6 日釋出的最新安全更新，已修補由 DEVCORE 研究團隊回報的重大 RCE（Remote Code Execution，遠端程式碼執行）零時差漏洞（Zero-Day Vulnerability，亦稱 0-day）CVE-2024-4577，且該漏洞具高度的易用性及嚴重性。

該漏洞源自於 PHP 程式語言設計時的疏失，允許未認證的攻擊者在遠端伺服器執行任意程式碼，漏洞影響範圍廣泛，包含安裝於 Windows 作業系統上繁體中文、簡體中文、日文三個語系的所有 PHP 版本。建議使用者應盡快更新至 PHP 官方最新 8.3.8、8.2.20、8.1.29 版本，降低資訊外洩的風險。非上述三語系使用情境的使用者，仍需全面盤點資產、確認使用情境並將 PHP 更新至最新版本。

同時，受影響的情境也包含所有版本的 XAMPP for Windows 安裝的預設設定。XAMPP^[2] 作為便於開發者整合、使用的軟體安裝包，是在 Windows 作業系統上使用 PHP 的主要解決方案之一，使用者可以運用 XAMPP 輕易地建立網頁伺服器，Windows 版本每月下載量超越 200 萬次，至今累計下載量更已突破上億次^[3]。由於 XAMPP 尚未針對此漏洞釋出相對應的更新安裝檔，使用者如確認自身未使用 PHP CGI 功能，仍可修改 Apache Httpd 設定檔，以避免暴露在弱點中。

領先全球揭露並回報重大漏洞！DEVCORE 深厚的前瞻研究能量鎮守開發者資安

DEVCORE 研究團隊致力於研究攻擊技術及戰略，鑽研各類型攻擊手法，長期針對 Microsoft、Amazon、Google、Netflix 等全球通用的產品或系統，找出對世界具重大影響的潛在漏洞。

本次回報遵循責任揭露（Responsible Disclosure）原則，發現後於 2024 年 5 月 7 日第一時間向 PHP 回報存在此問題，以避免該漏洞遭有心人士利用，造成全球用戶重大損失。

DEVCORE 首席資安研究員蔡政達（Orange Tsai）指出，「由於 PHP 在網站生態使用極為廣泛、而且該弱點易於重現，我們在發現的當下，就認知到弱點影響性相當高，並將它標記為『嚴重』、在第一時間回報給官方請求修補。希望未來持續透過團隊的研究能力，提前找到更多的資安弱點，運用我們的力量，為網路安全、世界再多盡一份心力。」

^[1] 相關數據來源為 W3Techs 網站。

^[2] XAMPP 是便於開發者建置環境的軟體安裝包，分別代表著 X – 可支援跨平台、A – Apache（網頁伺服器）、M – MySQL 或 MariaDB（資料庫）、P- PHP（程式語言）、P – Perl（程式語言）。

^[3] XAMPP 下載量相關數據來源為 SourceForge 網站。