在9 月 14 日至 18 举办的 Real World CTF 中，国外安全研究员 Andrew Danau 在解决一道 CTF 题目时发现，向目标服务器 URL 发送 %0a 符号时，服务返回异常，疑似存在漏洞。

9 月 26 日，PHP 官方发布漏洞通告，其中指出：使用 Nginx + php-fpm 的服务器，在部分配置下，存在远程代码执行漏洞。并且该配置已被广泛使用，危害较大。

漏洞 PoC 在 10 月 22 日公开。

Nginx 上 fastcgi_split_path_info 在处理带有 %0a 的请求时，会因为遇到换行符 \n 导致 PATH_INFO 为空。而 php-fpm 在处理 PATH_INFO 为空的情况下，存在逻辑缺陷。攻击者通过精心的构造和利用，可以导致远程代码执行。

Nginx + php-fpm 的服务器，在使用如下配置的情况下，都可能存在远程代码执行漏洞。

 location ~ [^/]\.php(/|$) {

        fastcgi_split_path_info ^(.+?\.php)(/.*)$;

        fastcgi_param PATH_INFO       $fastcgi_path_info;

        fastcgi_pass   php:9000;

        ...

  }

}

在不影响正常业务的情况下，删除 Nginx 配置文件中的如下配置：

fastcgi_split_path_info ^(.+?\.php)(/.*)$;

fastcgi_param PATH_INFO       $fastcgi_path_info;

长 亭 应 急 响 应 服 务

全力进行产品升级

及时将预警预案发送给客户

检测业务是否受到此次漏洞影响

请联系长亭应急团队

7*24小时，守护您的安全！

第一时间找到我们：

邮箱：support@chaitin.com

应急响应热线：4000-327-707