微慑信息网

PHP 远程代码执行漏洞 (CVE-2019-11043)[附exploit]

        长 亭 漏 洞 预 警        

     

PHP 远程代码执行漏洞

(CVE-2019-11043)

 

漏洞预警 | PHP 远程代码执行漏洞 (CVE-2019-11043)

在9 月 14 日至 18 举办的 Real World CTF 中,国外安全研究员 Andrew Danau 在解决一道 CTF 题目时发现,向目标服务器 URL 发送 %0a 符号时,服务返回异常,疑似存在漏洞。

 

9 月 26 日,PHP 官方发布漏洞通告,其中指出:使用 Nginx + php-fpm 的服务器,在部分配置下,存在远程代码执行漏洞。并且该配置已被广泛使用,危害较大。

 

漏洞 PoC 在 10 月 22 日公开。

 

漏洞描述

Nginx 上 fastcgi_split_path_info 在处理带有 %0a 的请求时,会因为遇到换行符 n 导致 PATH_INFO 为空。而 php-fpm 在处理 PATH_INFO 为空的情况下,存在逻辑缺陷。攻击者通过精心的构造和利用,可以导致远程代码执行。

 

影响范围

Nginx + php-fpm 的服务器,在使用如下配置的情况下,都可能存在远程代码执行漏洞。

 

 location ~ [^/].php(/|$) {

        fastcgi_split_path_info ^(.+?.php)(/.*)$;

        fastcgi_param PATH_INFO       $fastcgi_path_info;

        fastcgi_pass   php:9000;

        …

  }

}

 

解决方案

在不影响正常业务的情况下,删除 Nginx 配置文件中的如下配置:

 

fastcgi_split_path_info ^(.+?.php)(/.*)$;

fastcgi_param PATH_INFO       $fastcgi_path_info;

如需帮助请咨询[email protected]

 

 

参考资料

·https://bugs.php.net/bug.php?id=78599

 

·https://lab.wallarm.com/php-remote-code-execution-0-day-discovered-in-real-world-ctf-exercise/

 

·https://github.com/neex/phuip-fpizdam

 

漏洞预警 | PHP 远程代码执行漏洞 (CVE-2019-11043)

长 亭 应 急 响 应 服 务

漏洞预警 | PHP 远程代码执行漏洞 (CVE-2019-11043)

 

原文始发于微信公众号(长亭安全课堂):漏洞预警 | PHP 远程代码执行漏洞 (CVE-2019-11043)

赞(0) 打赏
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » PHP 远程代码执行漏洞 (CVE-2019-11043)[附exploit]

评论 抢沙发

微慑信息网 专注工匠精神

微慑信息网-VulSee.com-关注前沿安全态势,聚合网络安全漏洞信息,分享安全文档案例

访问我们联系我们

觉得文章有用就打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册