【漏洞预警】php-fpm在特定nginx配置下远程代码执行漏洞
监控到php官方发布漏洞信息,披露php-fpm在特定nginx配置下可导致远程代码执行漏洞(CVE-2019-11043),目前PoC已被披露,风险较大。

【漏洞描述】:
nginx 配置项 fastcgi_split_path_info 在处理带有 %0a 的请求时遇到换行符 \n 会导致 PATH_INFO 为空,进而导致特定的攻击请求会修改php-fpm进程中的相关配置,在特殊配置情况下可导致远程代码执行漏洞,相关漏洞配置类似如下:
“`
location ~ [^/]\.php(/|$) {
fastcgi_split_path_info ^(.+?\.php)(/.*)$;
fastcgi_param PATH_INFO $fastcgi_path_info;
fastcgi_pass php:9000;

}
}
“`

【漏洞评级】:
CVE-2019-11043 中危

【安全建议】:
删除或修改如下配置,防止.php之后可传入任意字符(可能会影响正常业务):
“`
fastcgi_split_path_info ^(.+?\.php)(/.*)$;
fastcgi_param PATH_INFO $fastcgi_path_info;

“`

发表评论

电子邮件地址不会被公开。 必填项已用*标注