Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2025-00952
- 發信 Vendor: 健行科技大學
- Title: 健行科技大學 PHP CGI漏洞
- Introduction: CVE-2024-4577
處理狀態
目前狀態
-
新提交
-
已審核
-
已通報
-
已修補
-
未複測
-
公開
處理歷程
- 2025/08/11 13:34:44 : 新提交 (由 Elvis 更新此狀態)
- 2025/08/14 21:24:40 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/08/26 15:41:12 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/08/26 15:41:12 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/09/18 13:05:26 : 已修補 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/09/26 03:00:08 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2025-00952
- 通報者:summer78315 (Elvis)
- 風險:高
- 類型:指令注入攻擊 (Command Injection)
參考資料
漏洞說明: OWASP - Top 10 - 2017 A1 - Injection
https://www.owasp.org/index.php/Top_10-2017_A1-Injection
漏洞說明: CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection')
https://cwe.mitre.org/data/definitions/77.html
相關網址
敘述
找到 IP 120.124.150.227(shodan對應網域 pc150227.uch.edu.tw)
CVE 編號: CVE-2024-4577
漏洞類型: PHP CGI Argument Injection Remote Code Execution(RCE)
影響版本: PHP 8.3.x < 8.3.8、PHP 8.2.x < 8.2.20、PHP 8.1.x < 8.1.29,以及所有已 EOL 的 PHP 版本(包含 PHP 5.x)
攻擊條件:
Web 伺服器使用 CGI/FastCGI 模式
未阻擋特定 URL 編碼方式(如 %AD 或特殊編碼引數)
風險等級: Critical(CVSS ≥ 9.8)
實際影響: 攻擊者可透過特殊構造的 HTTP 請求,在遠端直接執行系統命令,並取得最高權限(本案例中取得 NT AUTHORITY\SYSTEM)。
修補建議
立即措施
斷開對外公開的 CGI 服務或受影響的網站端口,暫時隔離系統。
檢查伺服器是否已有入侵行為(檔案改動、惡意進程、後門帳號)。
清理並重設所有憑證、密碼與金鑰。
長期修補
更新 PHP 至最新版本:
PHP 8.3.x → 升級至 8.3.8 以上
PHP 8.2.x → 升級至 8.2.20 以上
PHP 8.1.x → 升級至 8.1.29 以上
若是 PHP 5.x(EOL),請遷移至受支援版本,並全面測試相容性。
禁用 CGI/FastCGI 模式(若非必要),改用 PHP-FPM 搭配 Apache/Nginx。
於 Web Server 層級阻擋可疑的 URL 編碼參數,防止利用漏洞觸發 CGI。
建立 Web 應用防火牆(WAF)規則過濾特殊編碼與 PHP CGI 攻擊請求。
加強日誌監控與告警機制,及時偵測異常命令執行行為。