2019年10月22日,在github上公開了一個關(guān)于php的遠程代碼執(zhí)行漏洞。
此漏洞由于不正確的Nginx+php-fpm配置導致服務端存在在處理%0a時存在不正確解析方式,可能導致任意代碼執(zhí)行。
通過請求包寫入日志

查看phpinfo可以發(fā)現(xiàn)

查看/tmp/a

通過訪問2.php可以實現(xiàn)遠程代碼執(zhí)行

修復方案:
1、請結(jié)合實際業(yè)務場景,在不影響正常業(yè)務的情況下,在 Nginx 的配置文件中刪除如下配置:
fastcgi_split_path_info ^(.+?.php)(/.*)$;
fastcgi_param PATH_INFO $fastcgi_path_info;
參考:
https://github.com/neex/phuip-fpizdam
以上是本次高危漏洞預警的相關(guān)信息