CVE-2012-1823 — 神龙十问 AI 深度分析摘要
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:PHP CGI 参数注入漏洞。 💥 **后果**:远程攻击者可通过构造恶意参数,查看服务器源码或执行任意 PHP 代码,导致敏感信息泄露及服务器失陷。
Q2根本原因?(CWE/缺陷点)
🔍 **缺陷点**:PHP CGI 在处理命令行参数时存在逻辑缺陷。 📝 **CWE**:数据中未明确标注具体 CWE ID,但属于典型的参数注入/解析错误。
Q3影响谁?(版本/组件)
📦 **影响组件**:PHP (Hypertext Preprocessor)。 📅 **受影响版本**: - PHP < 5.3.12 - PHP < 5.4.2 *(注:数据中提及的 vendor/product 为 n/a,但描述明确指向 PHP Group 维护的开源软件)*
Q4黑客能干啥?(权限/数据)
🕵️ **黑客能力**: 1. **信息泄露**:在服务器进程上下文中查看文件源代码。 2. **远程代码执行 (RCE)**:在受影响计算机上运行任意 PHP 代码。 3. **其他攻击**:可能作为跳板执行其他恶意操作。
Q5利用门槛高吗?(认证/配置)
⚡ **利用门槛**:低。 🔓 **认证**:无需认证,远程即可利用。 ⚙️ **配置**:需服务器以 CGI 模式运行 PHP,且未过滤特殊参数(如 `-s`, `-d`)。
Q6有现成Exp吗?(PoC/在野利用)
💻 **现成 Exp**:有。 🔗 **PoC 链接**: - GitHub: `drone789/CVE-2012-1823` - GitHub: `cyberharsh/PHP_CVE-2012-1823` - GitHub: `tardummy01/oscp_scripts-1` 🌍 **在野利用**:数据未明确提及大规模在野利用,但 PoC 丰富,易被自动化扫描器利用。
Q7怎么自查?(特征/扫描)
🔎 **自查方法**: 1. **访问测试**:尝试访问 `http://your-ip/index.php?-s`。 2. **观察响应**:若返回 PHP 源码,则存在漏洞。 3. **代码执行测试**:发送 POST 请求,Body 包含恶意代码,通过 `-d auto_prepend_file=php://input` 执行。
Q8官方修了吗?(补丁/缓解)
🛡️ **官方修复**:已修复。 📜 **补丁版本**:升级至 PHP 5.3.12 或 5.4.2 及以上版本。 📅 **发布时间**:2012-05-11 公布,RedHat (RHSA-2012:0568) 和 SUSE 等厂商随后发布安全公告。
Q9没补丁咋办?(临时规避)
🚧 **临时规避**: 1. **升级**:最推荐方案,升级 PHP 版本。 2. **配置调整**:避免以 CGI 模式运行 PHP,改用 FastCGI 或模块模式。 3. **WAF 防护**:拦截包含 `-s`, `-d`, `-r` 等可疑参数的请求。
Q10急不急?(优先级建议)
🔥 **优先级**:高。 ⚠️ **理由**:远程无认证 RCE,危害极大(直接控制服务器)。虽为 2012 年漏洞,但若仍有老旧系统未升级,风险极高。建议立即排查并修复。