CVE-2024-1874

Injection de Commandes PHP sous Windows via proc_open()

Une faille de sécurité, identifiée comme CVE-2024-1874, affecte les versions 8.1.x (avant 8.1.28), 8.2.x (avant 8.2.18) et 8.3.x (avant 8.3.5) de PHP lorsqu’elles sont utilisées sur des systèmes d’exploitation Windows. Le problème survient lors de l’utilisation de la fonction proc_open() avec une syntaxe de tableau.

Points Clés :

• La vulnérabilité se manifeste spécifiquement sur les systèmes Windows.
• Elle est liée à l’exécution de commandes via proc_open() en utilisant une syntaxe de tableau.
• L’exploitation repose sur l’absence d’échappement adéquat des arguments passés à la commande.

Vulnérabilité :

• CVE-2024-1874 : Injection de commandes.

Impact :

Un utilisateur malveillant qui parvient à contrôler certains arguments de la commande exécutée peut insérer des commandes arbitraires dans le shell Windows. Cela peut mener à un accès non autorisé, au vol de données, voire à une prise de contrôle totale du système compromis. La faille exploite les règles d’analyse complexes de cmd.exe pour les arguments non échappés, surtout lors de l’exécution de fichiers batch.

Recommandations :

Il est fortement conseillé de mettre à jour PHP vers les versions corrigées :

• PHP 8.1.x vers 8.1.28 ou une version ultérieure.
• PHP 8.2.x vers 8.2.18 ou une version ultérieure.
• PHP 8.3.x vers 8.3.5 ou une version ultérieure.

Source