В PHP 7 найдена опасная уязвимость, которая позволяет злоумышленникам возможность команды на сервере с помощью специально сформированного URL, пишет SecurityLab.
Процесс эксплуатации бага довольно прост и усугубляется тем, что ранее на GitHub был размещен PoC-код для определения уязвимых серверов. Как поясняют специалисты, обнаружив такой сервер, атакующий может отправить специально сформированные запросы, добавив «? a=» в URL.
Проблема распространяется исключительно на NGINX-серверы с включенным PHP-FPM (программный пакет для обработки скриптов на языке PHP), сказано в описании уязвимости. По данным экспертов, баг активно используется в атаках.
В конце прошлой недели вышел патч для этой уязвимости. Пользователям настоятельно рекомендуется обновиться до новейших версий PHP 7.3.11 и PHP 7.2.24.
25 вакансий для PHP-разработчиков с зарплатой до 3500$.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.