关键信息总结 漏洞信息 漏洞名称: CGI Parameter Injection (Bypass of STRICT_CGI_PARAMS and EscapeShellParam) CVSS v4严重性: 10.0/10 (Critical) CVE ID: CVE-2026-27613 影响 受影响的版本: <2.01 修复版本: 2.01 潜在影响: - 源代码泄露 - 远程代码执行 (RCE) 描述 源代码泄露: 如果 启用(默认设置),攻击者可以发送以破折号(-)开头的参数,若使用的是PHP等CGI处理器,可导致源代码泄露。 远程代码执行: 如果 禁用,服务器使用 转义约定尝试清理输入,但由于像 这样的原生Win32二进制文件对引号转义不同,攻击者可以注入未转义的双引号以逃脱参数引号,从而导致RCE。 修复与建议 修复版本: 2.01,确保升级。 临时应对措施: 1. 确保 启用。 2. 避免使用可能接受危险命令行标志的CGI可执行文件。 3. 若部署了PHP,考虑在Web应用防火墙(WAF)配置,以阻止URL查询字符串中以破折号开头或包含编码双引号(%22)的参数。 参考资料 RFC 3875关于CGI版本1.1的第四节 PHP-CGI参数注入安全公告 CVE-2026-27613相关安全建议详情页面 CVSS v4 Base Metrics 攻击向量: 网络 攻击复杂度: 低 攻击需求: 无 所需权限: 无 强烈建议用户立即升级至安全的2.01版本。