A CVE-2024-4577 colocou servidores PHP em Windows sob alerta por uma falha de injeção de argumentos no modo CGI.1 A vulnerabilidade, reportada pela DEVCORE, explora o comportamento de conversão de caracteres do Windows para contornar proteções associadas a uma falha antiga do PHP-CGI e permitir execução remota de código em determinadas configurações.

O problema afeta instalações de PHP no Windows anteriores às versões corrigidas 8.3.8, 8.2.20 e 8.1.29. O changelog do PHP 8.3.8 registra a correção para bypass da CVE-2012-1823 e identifica a nova falha como CVE-2024-4577.2

O risco é especialmente relevante para ambientes que expõem PHP-CGI diretamente por servidores web, incluindo configurações comuns com Apache no Windows. A DEVCORE também chama atenção para instalações XAMPP em Windows, frequentemente usadas em ambientes de desenvolvimento, laboratórios e aplicações internas que acabam permanecendo acessíveis por mais tempo do que deveriam.1

O problema está na fronteira entre runtime e sistema

A falha mostra como detalhes de sistema operacional podem reabrir uma classe de vulnerabilidade conhecida. O PHP já tinha proteções contra injeção de argumentos no CGI, mas a conversão "Best-Fit" de caracteres no Windows permite que sequências específicas sejam interpretadas de forma inesperada. Em locais afetados, o atacante consegue influenciar argumentos passados ao binário PHP-CGI.

Esse tipo de bug é perigoso porque muitos administradores acreditam que uma mitigação histórica encerrou definitivamente o risco. Quando uma diferença de encoding ou locale muda a interpretação dos caracteres, o mesmo desenho de ataque volta por um caminho menos óbvio.

Segundo a DEVCORE, a exploração direta foi verificada em Windows com locales de chinês tradicional, chinês simplificado e japonês. A orientação, no entanto, é que ambientes em outros idiomas também façam avaliação abrangente, porque o uso de PHP e as combinações de servidor web variam muito.1

Atualizar é a resposta principal

A medida mais importante é atualizar o PHP para versões corrigidas. Para ramos sem suporte, como PHP 8.0, 7 e 5, o problema é mais grave: não há manutenção regular, e administradores precisam tratar a exposição como dívida crítica. Em sistemas antigos, uma mitigação temporária pode reduzir risco, mas não substitui migração para versão suportada.

Também é necessário mapear onde PHP-CGI roda de fato. Muitas empresas têm servidores Windows legados, painéis internos, aplicações de departamento e ambientes de homologação fora do inventário central. A busca deve incluir hosts com XAMPP, Apache, IIS com integrações antigas, scripts de automação e máquinas usadas como "temporárias".

Depois da atualização, logs de acesso devem ser revisados em busca de padrões de exploração. Como a falha pode levar a execução remota de código, sinais de comandos incomuns, downloads de payload, criação de arquivos e conexões de saída merecem investigação. A ausência de erro explícito no aplicativo não significa ausência de tentativa.

Para equipes de desenvolvimento, a CVE-2024-4577 reforça que ambientes locais e ferramentas empacotadas não devem virar produção informal. O que começa como conveniência para testes pode acabar exposto na rede com runtime desatualizado e configuração vulnerável.

O episódio também lembra que segurança de linguagem não depende apenas do código da aplicação. Runtime, modo de execução, servidor web, locale, sistema operacional e ciclo de atualização formam a superfície real. No caso do PHP-CGI em Windows, essa superfície precisa ser tratada com urgência.

  1. DEVCORE, "Security Alert: CVE-2024-4577 - PHP CGI Argument Injection Vulnerability", 6 jun. 2024.
  2. PHP, "PHP 8 ChangeLog: Version 8.3.8", 6 jun. 2024.