PT-2024-6535 · Php+2 · Php+2

Publicado

2019-06-02

·

Atualizado

2025-08-11

·

CVE-2024-8926

CVSS v2.0

10

Alta

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas:
Versões do PHP 8.1.* a 8.1.29
Versões do PHP 8.2.* a 8.2.23
Versões do PHP 8.3.* a 8.3.11
Descrição:
A vulnerabilidade existe devido à falha na neutralização de elementos especiais no interpretador do PHP. Isso pode permitir que um usuário mal-intencionado passe opções para o binário PHP em execução, revelando potencialmente o código-fonte de scripts ou executando código PHP arbitrário no servidor. O problema está relacionado ao comportamento da tabela de códigos “Best Fit” do Windows ao usar certas configurações não padronizadas das tabelas de códigos do Windows.
Recomendações:
Para as versões do PHP 8.1.* a 8.1.29, atualize para a versão 8.1.30 ou posterior.
Para as versões do PHP 8.2.* a 8.2.23, atualize para a versão 8.2.24 ou posterior.
Para as versões do PHP 8.3.* a 8.3.11, atualize para a versão 8.3.12 ou posterior.
Como solução temporária, considere restringir o uso de configurações não padrão de páginas de códigos do Windows para minimizar o risco de exploração.

Exploit

Correção

OS Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-78

Identificadores relacionados

ALT-PU-2019-1959
ALT-PU-2021-2943
ALT-PU-2021-3079
ALT-PU-2023-1275
ALT-PU-2023-4125
ALT-PU-2024-13449
ALT-PU-2024-13465
ALT-PU-2024-13522
ALT-PU-2024-13710
ALT-PU-2024-13711
ALT-PU-2024-13731
ALT-PU-2024-16480
ALT-PU-2024-6670
BDU:2024-07677
BIT-LIBPHP-2024-8926
BIT-PHP-2024-8926
BIT-PHP-MIN-2024-8926
CVE-2024-8926
DSA-5780-1
GHSA-P99J-RFP4-XQVQ
GHSA-VXPP-6299-MXW3
OESA-2024-2248

Produtos afetados

Alt Linux
Php
Red Os