Vulnerabilidad crítica en PHP-CGI

Se ha publicado una grave vulnerabilidad en el código del lenguaje PHP que permite la ejecución remota de código en servidores web con PHP, que se ejecuten como interfaz de entrada común o CGI.

Etiquetada como CVE-2012-1823, la vulnerabilidad fue descubierta por el grupo Eindbazen y comunicada al grupo PHP en el mes de febrero aunque todavía no hay un parche específico para solventarla.

La vulnerabilidad calificada con el nivel máximo ‘crítica’ por INTECO permite pasar parámetros al intérprete de PHP, como -s o -r, a través de la URL, por ejemplo añadiendo la cadena ‘?-s’. Como resultado de la inyección de estos parámetros en la URL, se puede mostrar el contenido de archivos de código fuente (que puede incluir información confidencial como, por ejemplo, contraseñas de BBDD) o ejecutar código PHP arbitrario.

Tema serio ya que el lenguaje PHP se encuentra instalado en más de 20 millones de sitios web y en un millón de servidores, la inmensa mayoría enfocados a la creación de sitios web. Multiplataforma, PHP se ejecuta en sistemas Unix, Windows, Linux o Mac y puede interactuar con los servidores web más populares, una de sus versiones la CGI, donde se ha descubierto la vulnerabilidad.

Inteco recomienda ejecutar PHP como módulo hasta que esté disponible una actualización oficial o en su defecto aplicar los parches de seguridad publicados por Eindbazen, el equipo que descubrió esta grave vulnerabilidad en PHP-CGI.