Neurohazard
暮雲煙月,皓首窮經;森羅萬象,如是我聞。

CVE-2019-11043 PHuiP-FPizdaM PHP 远程代码执行漏洞

wpadmin~October 23, 2019 /InfoSec

CVE-2019-11043 PHuiP-FPizdaM

正文

https://github.com/neex/phuip-fpizdam

在特定 nginxphp-fpm 的配置下可能导致远程命令执行。

I had a better time understanding the nature of the bug from the PHP bug tracker:
https://bugs.php.net/bug.php?id=78599

CVE-2019-11043 PHuiP-FPizdaM exploit [nginx + php-fpm] from netsec

预警

在 2019 年 9 月 14 日至 18 举办的 Real World CTF 中,国外安全研究员 Andrew Danau 在解决一道 CTF 题目时发现,向目标服务器 URL 发送 %0a 符号时,服务返回异常,疑似存在漏洞。

9 月 26 日,PHP 官方发布漏洞通告,其中指出:使用 Nginx + php-fpm 的服务器,在默认的配置下,存在远程代码执行漏洞。并且该默认配置已被广泛使用,危害较大。 漏洞 PoC 在 2019 年 10 月 22 日公开。

漏洞预警 | PHP 远程代码执行漏洞 (CVE-2019-11043)| 长亭科技
https://mp.weixin.qq.com/s/NFPVPSUHJKr4ghfa0ofoWQ

Leave a Reply

Your email address will not be published. Required fields are marked *