Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

28/10/2019

Ejecución de código en PHP7 para NGNIX y PHP-FPM

La explotación de la vulnerabilidad es muy sencilla por lo que puede estar siendo utilizada activamente

Se ha descubierto una vulnerabilidad en PHP7 que afecta a los servidores NGNIX y PHP-FPM bajo una serie de configuraciones concretas, las cuales están ampliamente extendidas.

Tal es el alcance, que el propio servidor de hosting de NextCloud ha avisado a sus clientes

 

Sistemas Afectados:

Según el artículo de Hispasec, un sitio web es vulnerable a la explotación si cumple las siguientes características:

• Utiliza NGINX y está configurado para reenviar las peticiones al procesador PHP-FPM.
• Está configurado ‘fast_split_path_info‘ con una expresión regular que comience con ‘^’ y termine con ‘$’ (no contempla un salto de línea).
• La variable PATH_INFO esta definida con fastcgi_param.
• No hay comprobaciones como try_files $ uri = 404 o if (-f $ uri) que determinen si un archivo existe o no.

 

 

Referencias:

CVE-2019-11043

Solución:

Se recomienda actualizar a PHP 7.3.11 y PHP 7.2.24

 

Notas:

Más información en el siguiente enlace:

https://unaaldia.hispasec.com/2019/10/fallo-de-ejecucion-de-codigo-en-php7-configurado-con-nginx-y-php-fpm.html

 

CSIRT-CV