PHP、Criticalなコマンドインジェクションの脆弱性にパッチ:CVE-2024-1874 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > PHP、Criticalなコマンドインジェクションの脆弱性にパッチ:CVE-2024-1874

Threat Report

PHP

Silobreaker-CyberAlert

コマンドインジェクション

PHP、Criticalなコマンドインジェクションの脆弱性にパッチ:CVE-2024-1874

佐々山 Tacos

佐々山 Tacos

2024.04.16

PHP、Criticalなコマンドインジェクションの脆弱性にパッチ:CVE-2024-1874

(情報源:Securityonline.info

PHPの開発チームが、バージョン8.1.28、8.2.18、8.3.6に影響を与える脆弱性数件に対する緊急セキュリティパッチをリリース。これらの脆弱性の中にはアカウント侵害に繋がり得る重大なコマンドインジェクションの脆弱性CVE-2024-1874が含まれる。

CVE-2024-1874:Critical評価のコマンドインジェクション

CVE-2024-1874は複数のプログラミング言語に見つかった重大な脆弱性「BatBadBut」を構成するCVEの1つで、Windowsシステムでの不適切なコマンドラインの処理により、攻撃者は任意のコマンドを注入できるようになる可能性があるというもの。ひいては、PHPアプリケーションがバッチファイル(.bat)またはコマンドファイル(.cmd)を実行する場合、システムの完全な乗っ取りに繋がる恐れがある。CVSSスコアは9.4 / 10で、深刻度は「Critical」の評価。

注目に値するその他の脆弱性

CVE-2024-1874以外にも、以下のような脆弱性が修正されている。

  • CVE-2024-2756:別の脆弱性CVE-2022-31629に対する過去の修正プログラムが不完全だったことに起因する脆弱性。攻撃者は、これを悪用してPHPアプリケーションが「安全」と誤解する恐れのある悪意あるクッキーを設定できるようになる可能性がある。悪用が成功すれば、ユーザーセッションの乗っ取りやクロスサイト攻撃に繋がることも考えられる。深刻度は「Medium」の評価。
  • CVE-2024-3096:「password_verify」が、入力されたパスワードを特定条件下で不適切に処理する場合があることに起因する問題。悪用に成功した攻撃者は、「password_hash」を使用するシステムでのパスワード認証をバイパスできるようになる恐れがある。「ユーザーのパスワードがヌル文字(\x00)で始まっている」というレアな前提が必須条件となっているが、悪用が実現すればアカウント乗っ取りという重大な結果を招くことも考えられる。深刻度は「Low」の評価。
  • CVE-2024-2757:「mb_encode_mimeheader」関数に特定の入力値が提供されることで、エンドレスなループが生じる問題に起因するもの。DoS攻撃などに繋がる恐れがあり、CVSSスコアは7.5 / 10、深刻度は「High」の評価。

迅速なアップデートを

影響を受けるバージョンのPHPを利用している場合は、できる限り速やかに最新のパッチ済みバージョンへのアップデートを実施することが推奨される。

<パッチ済みバージョン>

  • CVE-2024-1874:8.1.28、8.2.18、8.3.6
  • CVE-2024-2756:8.1.28、8.2.18、8.3.6
  • CVE-2024-3096:8.1.28、8.2.18、8.3.6
  • CVE-2024-2757:8.3.6(8.3.5より前のバージョンに影響)

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ