漏洞简介
严重程度:高
CVE编号:CVE-2019-11043
影响版本:存在错误配置
漏洞危害
在Real World CTF中,国外安全研究员Andrew Danau在解决一道CTF题目时发现,向目标服务器URL发送%0a符号时,服务返回异常,疑似存在漏洞。经过研判在使用一些有错误的Nginx配置的情况下,通过恶意构造的数据包,即可让PHP-FPM执行任意代码。
漏洞详情
当Nginx使用特定的fastcgi配置时,存在远程代码执行漏洞,但这个配置并非Nginx默认配置。当fastcgi_split_path_info字段被配置为 ^(.+?\.php)(/.*)$;时,攻击者可以通过精心构造的payload,造成远程代码执行漏洞,该配置已被广泛使用,危害较大。
Nginx+php-fpm的服务器,在使用如下配置的情况下,都可能存在远程代码执行漏洞:
location ~ [^/]\.php(/|$) {
fastcgi_split_path_info ^(.+?\.php)(/.*)$;
fastcgi_param PATH_INFO $fastcgi_path_info;
fastcgi_pass php:9000;
…
}
漏洞复现:
修复建议
1.使用github中的最新的PHP版本,下载地址:
https://github.com/php/php-src
2.如果业务不需要以下配置,建议用户删除:
fastcgi_split_path_info ^(.+?\.php)(/.*)$;
fastcgi_param PATH_INFO $fastcgi_path_info;
3.修改 nginx 配置文件中fastcgi_split_path_info的正则表达式,不允许.php之后传入不可显字符。
转载请注明:XAMPP中文组官网 » PHP-FPM在Nginx配置错误任意代码执行(CVE-2019-11043)漏洞预警