PHP dính lỗi bảo mật nghiêm trọng khiến website có thể bị tấn công nếu đang vận hành trên Nginx

PHP dính lỗi bảo mật nghiêm trọng khiến website có thể bị tấn công nếu đang vận hành trên Nginx

Nếu bạn đang chạy website với combo PHP + NGINX + PHP-FPM thì cần cập nhật PHP ngay lập tức vì có một lỗ hổng bảo mật mới, cho phép hacker có thể tấn công website của bạn từ xa.

Lỗ hổng được theo dõi với mã là CVE-2019-11043, ảnh hưởng đến các trang web có cấu hình nhất định của PHP-FPM được cho là không phổ biến trong tự nhiên và có thể bị khai thác dễ dàng vì khai thác bằng chứng khái niệm (PoC) cho lỗ hổng đã được sử dụng phát hành công khai.

Lỗ hổng chính là vấn đề “tham nhũng” bộ nhớ “env_path_info” trong mô-đun PHP-FPM và việc kết hợp nó với các vấn đề khác có thể cho phép kẻ tấn công thực thi mã tùy ý từ xa trên các máy chủ web dễ bị tấn công.

Trả lời

Email của bạn sẽ không được hiển thị công khai.