Uma nova falha de segurança crítica no PHP foi descoberta, podendo ser explorada para execução remota de código em determinadas circunstâncias. A vulnerabilidade, identificada como CVE-2024-4577, é uma falha de injeção de argumentos CGI que afeta todas as versões do PHP instaladas no sistema operacional Windows. Segundo os pesquisadores, essa falha permite contornar proteções implementadas para outra vulnerabilidade, a CVE-2012-1823.
Durante a implementação do PHP, a equipe não percebeu o recurso Best-Fit de conversão de codificação dentro do sistema operacional Windows. Esse descuido permite que atacantes não autenticados contornem a proteção anterior da CVE-2012-1823 por meio de sequências de caracteres específicas. Códigos arbitrários podem ser executados em servidores PHP remotos através do ataque de injeção de argumentos.
Após a divulgação em 7 de maio de 2024, uma correção para a vulnerabilidade foi disponibilizada nas versões 8.3.8, 8.2.20 e 8.1.29 do PHP.