PHP-CGI Query String Parameter Vulnerability — sapi/cgi/cgi_main.c in PHP, when configured as a CGI script, does not properly handle query strings, which allows remote attackers to execute arbitrary code.
A critical vulnerability in PHP's CGI implementation allows remote attackers to execute arbitrary code by manipulating query string parameters. This flaw affects PHP when configured as a CGI script, enabling attackers to bypass security controls and gain unauthorized system access. Active exploits exist in the wild, making this a high-priority threat despite its age.
تكمن الثغرة في ملف sapi/cgi/cgi_main.c في PHP عندما يتم تكوينه كنص CGI، حيث لا يتعامل بشكل صحيح مع سلاسل الاستعلام. يمكن للمهاجمين استغلال هذا العيب لإرسال معاملات استعلام خاصة تحتوي على خيارات سطر أوامر PHP، مما يؤدي إلى تنفيذ تعليمات برمجية عشوائية على الخادم المستهدف. تسمح هذه الثغرة بالتحكم الكامل في النظام المتأثر، بما في ذلك قراءة الملفات الحساسة، تعديل البيانات، وتثبيت برمجيات خبيثة. يعتبر هذا الخلل خطيراً بشكل خاص لأن استغلاله لا يتطلب مصادقة ويمكن تنفيذه عبر طلبات HTTP بسيطة.
ثغرة أمنية حرجة في تطبيق CGI الخاص بـ PHP تسمح للمهاجمين عن بعد بتنفيذ تعليمات برمجية عشوائية من خلال التلاعب بمعاملات سلسلة الاستعلام. تؤثر هذه الثغرة على PHP عند تكوينه كنص CGI، مما يمكّن المهاجمين من تجاوز ضوابط الأمان والحصول على وصول غير مصرح به للنظام. توجد استغلالات نشطة في البرية، مما يجعل هذا تهديداً ذا أولوية عالية على الرغم من قدمه.
1. Immediately migrate from PHP-CGI to PHP-FPM or mod_php configurations, which are not affected by this vulnerability and provide better performance and security isolation
2. If migration is not immediately possible, implement web application firewall (WAF) rules to block requests containing suspicious query string parameters (e.g., -d, -c, -n, -s) and deploy intrusion detection signatures to monitor exploitation attempts
3. Upgrade all PHP installations to patched versions (5.3.12+, 5.4.2+) and conduct comprehensive security audits of all web applications to identify and remediate similar input validation vulnerabilities
1. الانتقال فوراً من PHP-CGI إلى تكوينات PHP-FPM أو mod_php، والتي لا تتأثر بهذه الثغرة وتوفر أداءً أفضل وعزلاً أمنياً محسناً
2. إذا لم يكن الانتقال ممكناً فوراً، تنفيذ قواعد جدار حماية تطبيقات الويب (WAF) لحظر الطلبات التي تحتوي على معاملات سلسلة استعلام مشبوهة (مثل -d، -c، -n، -s) ونشر توقيعات كشف التسلل لمراقبة محاولات الاستغلال
3. ترقية جميع تثبيتات PHP إلى الإصدارات المصححة (5.3.12+، 5.4.2+) وإجراء عمليات تدقيق أمنية شاملة لجميع تطبيقات الويب لتحديد ومعالجة ثغرات التحقق من صحة الإدخال المماثلة