pHp7的pHp-FpM存在远程代码执行漏洞!
发布时间:2025-11-03 点击:4
据外媒 zdnet 的报道,php 7.x 中最近修复的一个远程代码执行漏洞正被恶意利用,并会导致攻击者控制服务器。编号为 cve-2019-11043 的漏洞允许攻击者通过向目标服务器发送特制的 url,即可在存在漏洞的服务器上执行命令。漏洞利用的 poc 代码也已在 github 上发布。
一旦确定了易受攻击的目标,攻击者便可以通过在url 中附加'?a=' 以发送特制请求到易受攻击的 web 服务器
仅 nginx 服务器受影响幸运的是,并非所有的 php web 服务器都受到影响。据介绍,仅启用了 php-fpm 的 nginx 服务器容易受到攻击。php-fpm 代表 fastcgi process manager,是具有某些附加功能的 php fastcgi 替代实现。它不是 nginx 的标准组件,但部分 web 托管商仍会将其作为标准 php 托管环境的一部分。
web 托管商 nextcloud 就是其中一个例子,该公司于10月24日向其客户发出安全警告,督促客户将 php 更新至最新版本 7.3.11 和 7.2.24 ,其中包含针对 cve-2019-11043 漏洞的修复程序。另外,许多其他虚拟主机供应商也被怀疑正在运行易受攻击的 nginx + php-fpm 组合。
但是也有一些网站由于技术限制而无法更新 php,或无法从 php-fpm 切换到另一个 cgi 处理器。
修复建议将 php 7.1.x 更新至 7.1.33https://github.com/php/php-src/releases/tag/php-7.1.33
将 php 7.2.x 更新至 7.2.24https://github.com/php/php-src/releases/tag/php-7.2.24
将 php 7.3.x 更新至 7.3.11https://github.com/php/php-src/releases/tag/php-7.3.11
关于漏洞的详细分析可查看 https://paper.seebug.org/1063/。
企业申请可信网站要准备的三种资料
微信公众号怎么运营?微信公众号运营开发+方案披露
SEO优化需要规避的几大蜘蛛陷阱有哪些?
企业建网站响应式效果
选取关键词对于SEO优化与SEM营销有多重要?
会昌企业为什么要做网络推广
营销型网站如何做优化
Vps云主机适用的应用场景有哪些?
一旦确定了易受攻击的目标,攻击者便可以通过在url 中附加'?a=' 以发送特制请求到易受攻击的 web 服务器
仅 nginx 服务器受影响幸运的是,并非所有的 php web 服务器都受到影响。据介绍,仅启用了 php-fpm 的 nginx 服务器容易受到攻击。php-fpm 代表 fastcgi process manager,是具有某些附加功能的 php fastcgi 替代实现。它不是 nginx 的标准组件,但部分 web 托管商仍会将其作为标准 php 托管环境的一部分。
web 托管商 nextcloud 就是其中一个例子,该公司于10月24日向其客户发出安全警告,督促客户将 php 更新至最新版本 7.3.11 和 7.2.24 ,其中包含针对 cve-2019-11043 漏洞的修复程序。另外,许多其他虚拟主机供应商也被怀疑正在运行易受攻击的 nginx + php-fpm 组合。
但是也有一些网站由于技术限制而无法更新 php,或无法从 php-fpm 切换到另一个 cgi 处理器。
修复建议将 php 7.1.x 更新至 7.1.33https://github.com/php/php-src/releases/tag/php-7.1.33
将 php 7.2.x 更新至 7.2.24https://github.com/php/php-src/releases/tag/php-7.2.24
将 php 7.3.x 更新至 7.3.11https://github.com/php/php-src/releases/tag/php-7.3.11
关于漏洞的详细分析可查看 https://paper.seebug.org/1063/。
企业申请可信网站要准备的三种资料
微信公众号怎么运营?微信公众号运营开发+方案披露
SEO优化需要规避的几大蜘蛛陷阱有哪些?
企业建网站响应式效果
选取关键词对于SEO优化与SEM营销有多重要?
会昌企业为什么要做网络推广
营销型网站如何做优化
Vps云主机适用的应用场景有哪些?
上一篇:保险网站建设的原则和内容有哪些?
下一篇:做好手机网站优化让网站流量疯长