據外媒近日披露，在野外發(fā)現了一個PHP7遠程執(zhí)行代碼漏洞，該漏洞命名為CVE-2019-。

10 月 22 日，安全專家奧馬爾通過了 PHP-FPM（PHP 的進程管理器）中的“新補丁”遠程代碼執(zhí)行漏洞的公告。

此外，研究人員還分享了一個指向在存儲庫上發(fā)布的 PoC 代碼的鏈接。

據悉，CVE-2019-漏洞無需使用特定技能即可訪問服務器。這是 PHP-FPM 中的下溢漏洞。

這意味著該問題僅影響啟用了 PHP-FPM 的服務器。

安全專家 Emil 于 2019 年 9 月 26 日首次向 PHP 漏洞跟蹤器報告了該漏洞，該漏洞也歸因于研究人員。他在 2019 年 9 月的 The Flag 比賽中發(fā)現了該漏洞。

CTF（The Flag）中文一般譯為奪旗。在網絡安全領域，是指網絡安全技術人員之間進行技術競爭的一種形式。 CTF競賽模式分為以下三類：解題模式、攻防模式、混合模式。

說明在Web服務器和PHP-FPM的某些配置下，可以利用該漏洞實現遠程代碼執(zhí)行。

“庫中包含的 PoC 腳本可以查詢目標服務器并發(fā)送特定請求以確定它是否易受攻擊?！币环莘治鰣蟾鎸懙?，“一旦確定了易受攻擊的目標，攻擊者就可以將 URL 中的'?a=' 附加到易受攻擊的 Web 服務器上以發(fā)送特定請求?！?/p>

10 月 24 日php代碼執(zhí)行漏洞，PHP 維護者發(fā)布了（最新穩(wěn)定版）和（舊穩(wěn)定版）以解決 CVE-2019 漏洞。毫無疑問，將與PHP-FPM結合使用的管理員應該盡快升級他們的安裝。

另外php代碼執(zhí)行漏洞，維護者還提出了一個解決方案，包括添加指令或者使用if語句，比如if(-f $uri)。

參考文章：

CVE-2019- 用于黑客的 Web 和 PHP-FPM