发布日期：2024-10-08
更新日期：2025-04-03

受影响系统：

PHP PHP < 8.3.12
PHP PHP < 8.2.24
PHP PHP < 8.1.30

描述：

---

CVE(CAN) ID: CVE-2024-8926

PHP是PHP的一种在服务器端执行的脚本语言。
PHP 8.1.30之前版本、8.2.24之前版本和8.3.12之前版本存在操作系统命令注入漏洞，该漏洞源于程序在使用非标准配置的Windows代码页时配置不当，该配置通过注册表指向OEM代码页，且这种配置在实际环境中不太可能发生，攻击者可以利用该漏洞通过向正在运行的PHP二进制文件传递选项，从而揭示脚本的源代码，在服务器上运行任意PHP代码。

<**>

建议：

---

厂商补丁：

PHP
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/php/php-src/releases/tag/php-8.4.0RC1

浏览次数：138
严重程度：0（网友投票）