CVE-2024-8927

Nome do software vulnerável e versões afetadas:

Versões do PHP 8.1.* a 8.1.29

Versões do PHP 8.2.* a 8.2.23

Versões do PHP 8.3.* a 8.3.11

Descrição:

O problema está relacionado a erros nas configurações de segurança, especificamente na configuração cgi.force redirect. Em certos cenários, o conteúdo da variável HTTP REDIRECT STATUS pode ser controlado pelo remetente da solicitação por meio de cabeçalhos HTTP, fazendo com que a opção cgi.force redirect não seja aplicada corretamente. Isso pode resultar na inclusão arbitrária de arquivos no PHP. A variável HTTP REDIRECT STATUS é usada para verificar se o binário CGI está sendo executado pelo servidor HTTP.

Recomendações:

Para as versões do PHP 8.1.* a 8.1.29, atualize para a versão 8.1.30 ou posterior.

Para as versões do PHP 8.2.* a 8.2.23, atualize para a versão 8.2.24 ou posterior.

Para as versões do PHP 8.3.* a 8.3.11, atualize para a versão 8.3.12 ou posterior.

Como solução temporária, considere restringir o acesso à variável HTTP REDIRECT STATUS para minimizar o risco de exploração. Evite usar a variável HTTP REDIRECT STATUS em configurações confidenciais até que o problema seja resolvido.