Минулого тижня дослідники знайшли вразливість, що дозволяла дистанційно виконувати код у PHP 7 — останній гілці найпоширенішої мови для створення веб-сайтів.
Завдяки помилці CVE-2019-11043 зловмисники можуть запускати команди на серверах, просто отримуючи доступ до спеціально створеної URL-адреси. На GitHub вже опублікований робочий експлойт вразливості.
Для її використання потрібно надсилати GET-запити — додати '?a='
до URL-адреси вразливого сервера. Після цього можна створити фіктивну змінну PHP_VALUE і виконувати свій код.
Вразливість стосується лише NGINX-серверів з активованим PHP-FPM (удосконалена версія FastCGI, призначена для сайтів з великим трафіком). Це не обов'язковий компонент, але досить поширений. Наприклад, комбінацію NGINX+ PHP-FPM використовує NextCloud. Компанія вже опублікувала попередження і просить клієнтів оновити PHP до останніх версій: 7.3.11 і 7.2.24.
Власникам веб-сайтів варто перевірити налаштування сервера й оновитись, якщо він вразливий. Тим, хто не може оновити PHP і відмовитись від PHP-FPM через технічні обмеження, радять захиститись через фаєрвол PHP mod_security. Інструкції опубліковані на сайті Wallarm.
Ще немає коментарів