### 关键信息总结 #### 漏洞信息 - **漏洞名称**: CGI Parameter Injection (Bypass of STRICT_CGI_PARAMS and EscapeShellParam) - **CVSS v4严重性**: 10.0/10 (Critical) - **CVE ID**: CVE-2026-27613 #### 影响 - **受影响的版本**: <2.01 - **修复版本**: 2.01 - **潜在影响**: - 源代码泄露 - 远程代码执行 (RCE) #### 描述 - **源代码泄露**: 如果`STRICT_CGI_PARAMS`启用(默认设置),攻击者可以发送以破折号(-)开头的参数,若使用的是PHP等CGI处理器,可导致源代码泄露。 - **远程代码执行**: 如果`STRICT_CGI_PARAMS`禁用,服务器使用`cmd.exe`转义约定尝试清理输入,但由于像`msvcrt.dll`这样的原生Win32二进制文件对引号转义不同,攻击者可以注入未转义的双引号以逃脱参数引号,从而导致RCE。 #### 修复与建议 - **修复版本**: 2.01,确保升级。 - **临时应对措施**: 1. 确保`STRICT_CGI_PARAMS`启用。 2. 避免使用可能接受危险命令行标志的CGI可执行文件。 3. 若部署了PHP,考虑在Web应用防火墙(WAF)配置,以阻止URL查询字符串中以破折号开头或包含编码双引号(%22)的参数。 #### 参考资料 - RFC 3875关于CGI版本1.1的第四节 - PHP-CGI参数注入安全公告 - CVE-2026-27613相关安全建议详情页面 #### CVSS v4 Base Metrics - **攻击向量**: 网络 - **攻击复杂度**: 低 - **攻击需求**: 无 - **所需权限**: 无 #### 强烈建议用户立即升级至安全的2.01版本。