Un nuovo bug di esecuzione del codice remoto recentemente aggiornato in PHP7 consente agli hacker di dirottare i siti Web in esecuzione su alcune configurazioni NGINX e php-fpm. La vulnerabilità può essere rilevata come CVE-2019-11043.
La vulnerabilità risiede in env_path_info nel file fpm_main.c del componente FPM. L’FPM è il modulo php-fpm utilizzato per il miglioramento delle prestazioni.
La vulnerabilità è stata rilevata dal ricercatore di sicurezza Andrew Danau in un programma CTF di Realworld che si è svolto dal 14 al 16 settembre 2019.
“Quando Andrew Danau ha inviato% 0a (newline) byte nell’URL, la risposta del server è restituire più dati di quanti dovrebbero esserci. Inoltre, la quantità di dati extra era correlata al numero di byte dopo% 0a all’interno dell’URL “
```
location ~ [^/]\.php(/|$) {
fastcgi_split_path_info ^(.+?\.php)(/.*)$;
fastcgi_param PATH_INFO $fastcgi_path_info;
fastcgi_pass php:9000;
...
}
}
```
