PHP バージョン 8.1.29 より前の 8.1.*、8.2.20 より前の 8.2.*、8.3.8 より前の 8.3.* において、Windows で Apache および PHP-CGI を使用する際に、システムが特定のコードページを使用するように設定されている場合、Windows は Best-Fit 動作を使用して、Win32 API 関数に与えられたコマンドラインの文字を置き換える場合があります。PHP CGI モジュールがこれらの文字を PHP オプションとして誤って解釈する可能性があります。これにより、悪意のあるユーザーが、実行中の PHP バイナリにオプションを渡して、スクリプトのソースコードを漏洩したり、サーバーで任意の PHP コードを実行したりする可能性があります。

検出

PHP-CGI の引数インジェクション CVE-2024-4577 (Direct Check)

critical Nessus プラグイン ID 200464

バージョン 1.38