【漏洞预警】php-fpm在特定nginx配置下远程代码执行漏洞(CVE-2019-11043)

admin 2021年4月25日08:09:09评论78 views字数 768阅读2分33秒阅读模式

【漏洞预警】php-fpm在特定nginx配置下远程代码执行漏洞(CVE-2019-11043)

2019年10月23日,飓风应急响应中心监控到php官方发布漏洞信息,披露php-fpm在特定nginx配置下可导致远程代码执行漏洞(CVE-2019-11043),目前PoC已被披露,风险较大


漏洞描述

nginx 配置项 fastcgi_split_path_info 在处理带有 %0a 的请求时遇到换行符 n 会导致 PATH_INFO 为空,进而导致特定的攻击请求会修改php-fpm进程中的相关配置,在特殊配置情况下可导致远程代码执行漏洞,相关漏洞配置类似如下:



```
location ~ [^/].php(/|$) {
fastcgi_split_path_info ^(.+?.php)(/.*)$;
fastcgi_param PATH_INFO $fastcgi_path_info;
fastcgi_pass php:9000;
...
}
}
```

飓风安全应急响应中心提醒php-fpm+nginx用户尽快排查nginx配置项并采取安全措施阻止漏洞攻击。


漏洞评级

CVE-2019-11043 中危



安全建议

删除或修改如下配置,防止.php之后可传入任意字符(可能会影响正常业务):



```
fastcgi_split_path_info ^(.+?.php)(/.*)$;
fastcgi_param PATH_INFO $fastcgi_path_info;

```


相关链接

https://bugs.php.net/bug.php?id=78599

https://lab.wallarm.com/php-remote-code-execution-0-day-discovered-in-real-world-ctf-exercise/



本文始发于微信公众号(飓风网络安全):【漏洞预警】php-fpm在特定nginx配置下远程代码执行漏洞(CVE-2019-11043)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年4月25日08:09:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞预警】php-fpm在特定nginx配置下远程代码执行漏洞(CVE-2019-11043)http://cn-sec.com/archives/358539.html

发表评论

匿名网友 填写信息