PHP ออกอัปเดตเพื่อแก้ไขช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution (RCE)) บน Windows ซึ่งส่งผลกระทบตั้งแต่เวอร์ชัน 5.x และอาจส่งผลกระทบต่อเซิร์ฟเวอร์จำนวนมากทั่วโลก
PHP เป็น open-source scripting language ที่ใช้กันอย่างแพร่หลาย โดยถูกออกแบบมาเพื่อการพัฒนาเว็บ และใช้กันทั่วไปบนเซิร์ฟเวอร์ทั้งบน Windows และ Linux
CVE-2024-4577 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ที่เกิดจากการจัดการ character encoding โดยเฉพาะฟีเจอร์ 'Best-Fit' บน Windows เมื่อใช้ PHP ในโหมด CGI
ทำให้ Hacker ที่ไม่ต้องผ่านการยืนยันตัวตนสามารถ bypass การป้องกันของช่องโหว่ CVE-2012-1823 ก่อนหน้านี้ ด้วย character ที่เฉพาะเจาะจง ทำให้สามารถดำเนินการได้บน PHP servers ผ่านการโจมตีแบบ argument injection attack ซึ่งช่องโหว่ถูกค้นพบโดย Orange Tsai นักวิจัยด้านความปลอดภัยของ Devcore Principal เมื่อวันที่ 7 พฤษภาคม 2024 และได้รายงานช่องโหว่ให้แก่นักพัฒนา PHP ในเวลาต่อมา
ช่องโหว่ CVE-2024-4577 ส่งผลกระทบต่อ PHP ทุกเวอร์ชันบน Windows หากผู้ใช้งานใช้ PHP 8.0 (End of Life), PHP 7.x (End of Life) หรือ PHP 5.x (End of Life) ควรอัปเดตให้เป็นเวอร์ชันที่ใหม่กว่า หรือใช้วิธีการลดผลกระทบของช่องโหว่
นักวิจัยระบุว่า แม้ว่า PHP จะไม่ได้ใช้งาน CGI mode แต่ช่องโหว่ CVE-2024-4577 ก็อาจยังคงสามารถถูกโจมตีได้ ตราบใดที่ไฟล์ปฏิบัติการ PHP (เช่น php.