Il team di sviluppo di PHP ha rilasciato le versioni 5.3.12 e 5.4.2 a causa della necessaria correzione di una vulnerabilità recentemente rilevata nelle release precedenti; tale bug si sarebbe presentato in alcune installazioni basate su mod_cgi e sarebbe passata praticamente inosservata nell'arco degli ultimi anni.
Il problema, che non riguarderebbe gli ambienti basati su Apache e mod_php o su nginx e php-fpm, sarebbe dovuto essenzialmente al fatto che le richieste che non presentano un "=" all'interno della querystring vengono elaborate in modo differente dalle installazioni CGI based, per cui potrebbe capitare che una richiesta contenente i caratteri "?-s" causi l'accesso al sorgente della pagina.
Sono quindi da considerarsi potenzialmente vulnerabili i siti che sfruttano Apache con mod_cgi, una veloce verifica potrà essere eseguita aggiungendo la stringa "?-s" alla fine dell'URL di una pagina PHP, il dump del sorgente testimonierà la presenza del bug.
Un'alternativa all'upgrade potrebbe essere per esempio quella di utilizzare il modulo per la riscrittura di Apache per non consentire al Web server di accettare questa tipologia di richieste, cioè quelle inviate tramite querystring che iniziano con "-" e che non contengono "=".
Maggiori informazioni sono disponibili sul sito ufficiale di PHP.
/https://www.html.it/app/uploads/2024/03/phpday.png)
/https://www.html.it/app/uploads/2023/11/PHP.png)