漏洞描述
PHP是一种在服务器端执行的脚本语言,在 PHP 的 8.3.8 版本之前存在命令执行漏洞,由于 Windows 的 "Best-Fit Mapping" 特性,在处理查询字符串时,非ASCII字符可能被错误地映射为破折号(-),导致命令行参数解析错误,当 php_cgi 运行在Windows平台上,且代码页为繁体中文、简体中文或日文时,攻击者可以通过特定的查询字符串注入恶意参数,从而执行任意代码。
XAMPP Windows PHP-CGI 代码执行漏洞
PoC代码
暂无相关漏洞推荐
- POC CVE-2025-13315: Twonky Server 8.5.2 on Linux and Windows - Log File Exposure
- Windows PolicyConfiguration 计划任务特权提升漏洞(CVE-2025-60710)
- Windows 11 PolicyConfiguration 计划任务特权提升漏洞(CVE-2025-60710)
- Windows 11 RAiLaunchAdminProcess 管理员保护特权提升漏洞
- (CVE-2025-62522)Vite开发服务器Windows环境下文件泄露漏洞
- (CVE-2025-41246) VMware Tools for Windows授权不当漏洞
- Windows NTLMv2-SSP Hash信息泄露漏洞(CVE-2025-50154)
- (CVE-2025-26513)SAN Host Utilities for Windows 8.0前版本安装程序本地权限提升漏洞
- (CVE-2025-8088) WinRAR Windows版本路径遍历漏洞可导致任意代码执行
- POC CVE-2015-1635: Microsoft Windows 'HTTP.sys' - Remote Code Execution
- POC CVE-2017-7269: Windows Server 2003 & IIS 6.0 - Remote Code Execution
- POC CVE-2024-38472: Apache HTTPd Windows UNC - Server-Side Request Forgery
- POC generic-windows-lfi: Generic Windows based LFI Test