Owen Gong

Nome do software vulnerável e versões afetadas: Versões do PHP 8.1.* a 8.1.29 Versões do PHP 8.2.* a 8.2.23 Versões do PHP 8.3.* a 8.3.11 Descrição: O problema está relacionado a erros nas configurações de segurança, especificamente na configuração `cgi.force redirect`. Em certos cenários, o conteúdo da variável `HTTP REDIRECT STATUS` pode ser controlado pelo remetente da solicitação por meio de cabeçalhos HTTP, fazendo com que a opção `cgi.force redirect` não seja aplicada corretamente. Isso pode resultar na inclusão arbitrária de arquivos no PHP. A variável `HTTP REDIRECT STATUS` é usada para verificar se o binário CGI está sendo executado pelo servidor HTTP. Recomendações: Para as versões do PHP 8.1.* a 8.1.29, atualize para a versão 8.1.30 ou posterior. Para as versões do PHP 8.2.* a 8.2.23, atualize para a versão 8.2.24 ou posterior. Para as versões do PHP 8.3.* a 8.3.11, atualize para a versão 8.3.12 ou posterior. Como solução temporária, considere restringir o acesso à variável `HTTP REDIRECT STATUS` para minimizar o risco de exploração. Evite usar a variável `HTTP REDIRECT STATUS` em configurações confidenciais até que o problema seja resolvido.