php-fpm在特定nginx配置下远程代码执行漏洞(CVE-2019-11043)

2019年10月23日,阿里云应急响应中心监控到php官方发布漏洞信息,公布php-fpm在特定nginx配置下可导致远程代码执行漏洞(CVE-2019-11043),目前PoC已被公布,风险较大

漏洞描写

nginx 配置项 fastcgi_split_path_info 在处理带有%0a 的请求时遇到换行符n 会导致 PATH_INFO 为空,进而导致特定的攻击请求会修改php-fpm进程中...

阅读全文