研究人员在PHP 7中找出有个远程代码执行（RCE）漏洞，该漏洞CVE编号为CVE-2019-11043。攻击者利用该漏洞只需要访问通过精心伪造的URL就可以在服务器上运行命令。

漏洞简介

该漏洞位于PHP-FPM模块的env_path_info函数，漏洞实际上是有个内存下溢破坏漏洞，攻击者利用该漏洞结合其他漏洞利用可以让攻击者在有漏洞的web网站上执行任意代码。该漏洞影响的是PHP-FPM的特定配置的网站。PHP-FPM是一种可选的PHP FastCGI实现，可以为PHP编程语言编写的脚本来提供高级和高效地处理。

在特定的nginx + php-fpm配置中，web用户就可能会进行代码执行。有漏洞的配置如下所示：

location ~ [^/]\.php(/|$) {
  ...
  fastcgi_split_path_info ^(.+?\.php)(/.*)$;
  fastcgi_param PATH_INFO       $fastcgi_path_info;
  fastcgi_pass   php:9000;
  ...
}

从中可以看出，以上代码上缺乏脚本检查，因此攻击者可以用sploit来触发漏洞。

漏洞利用条件

fastcgi_split_path_info directive必须存在，并且含有以 ^开头，以 $结尾的正则表达式。

必须通过fastcgi_param PATH_INFO $fastcgi_path_info;语句来实现 PATH_INFO变量。首先，研究人员认为必须在fastcgi_params 文件中。

没有文件存在性检查，比如try_files $uri =404 or if (-f $uri)。如果Nginx在FastCGI转发前释放请求到不存在的脚本，研究人员创建的请求就不会到达php-fpm。

虽然漏洞利用只在PHP 7+版本上工作，但该漏洞本身存在于之前的版本中。很长时间内，php-fpm都不会限制脚本的扩展，比如/avatar.png/some-fake-shit.php可以将 avatar.png 作为php脚本执行。PoC代码见：https://github.com/neex/phuip-fpizdam

GitHub上的PoC脚本可以通过发送特殊伪造的请求来查询目标web服务器来识别是否受到该漏洞的影响。识别了有漏洞的目标后，攻击者可以在URL中加上'?a='并发送伪造的请求到有漏洞的web服务器。

建议

因为PoC漏洞利用已经在GitHub上公布了，虽然补丁已经发布了，但是黑客可能已经利用该漏洞了。研究人员建议用户更新PHP到最新的PHP 7.3.11 或PHP 7.2.24。