Aviso de seguridad
Nivel de peligrosidad: Crítico
Descripción
La vulnerabilidad surge de una gestión inadecuada de las conversiones de codificación de caracteres en PHP cuando se utiliza en modo CGI en Windows. Específicamente, el problema está relacionado con la función "Best-Fit Mapping" de Windows, que puede mapear ciertos caracteres Unicode a otros caracteres, como el guión suave (0xAD) a un guión estándar (0x2D). Esta conversión permite a los atacantes inyectar argumentos en la línea de comandos de PHP, lo que puede resultar en la ejecución de código arbitrario en el servidor afectado.
Recursos afectados
Todas las versiones de PHP instaladas en sistemas operativos Windows que utilizan PHP en modo CGI están afectadas, incluyendo:
- PHP 8.3 versiones anteriores a la 8.3.8
- PHP 8.2 versiones anteriores a la 8.2.20
- PHP 8.1 versiones anteriores a la 8.1.29
Solución
Se recomienda actualizar PHP a las versiones corregidas:
- PHP 8.3.8 o posterior
- PHP 8.2.20 o posterior
- PHP 8.1.29 o posterior
Las actualizaciones están disponibles en el sitio oficial de PHP.
Recomendaciones
-
Actualizar PHP a la versión más reciente disponible.
-
Revisar las configuraciones del servidor para asegurarse de que PHP no se ejecute en modo CGI, si no es necesario.
-
Implementar medidas de seguridad adicionales, como firewalls de aplicaciones web (WAF), para mitigar posibles intentos de explotación.