近日，国家信息安全漏洞库（CNNVD）收到关于PHP 操作系统命令注入漏洞（CNNVD-202406-852、CVE-2024-4577）情况的报送。未经身份认证的攻击者可以使用特定的字符序列绕过防护，通过参数注入的方式在目标服务器上远程执行代码。PHP多个版本均受该漏洞影响。目前，PHP官方已发布新版本修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。

一、漏洞介绍

PHP是一种在服务器端执行的脚本语言，适用于开发动态网站和Web应用程序。未经身份认证的攻击者可以使用特定的字符序列绕过防护，通过参数注入攻击在目标PHP服务器上远程执行代码，获取敏感信息或造成服务器崩溃。

二、危害影响

未经身份认证的攻击者可以使用特定的字符序列绕过防护，通过参数注入的方式在目标服务器上远程执行代码。PHP 8.1至8.1.29之前版本，PHP 8.3至8.3.8之前版本，PHP 8.2至8.2.20之前版本均受该漏洞影响。

三、修复建议

目前，PHP官方已发布新版本修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。官方更新版本下载链接：

https://www.php.net/downloads.php