漏洞描述

CVE-2019-11043 是一个远程代码执行漏洞，使用某些特定配置的 Nginx + PHP-FPM 的服务器存在漏洞，可允许攻击者远程执行代码。

向Nginx + PHP-FPM的服务器 URL发送 %0a 时，服务器返回异常。

该漏洞需要在nginx.conf中进行特定配置才能触发。具体配置如下：

location ~ [^/]\.php(/|$) {
 ...
 fastcgi_split_path_info ^(.+?\.php)(/.*)$;
 fastcgi_param PATH_INFO $fastcgi_path_info;
 fastcgi_pass   php:9000;
 ...
}

攻击者可以使用换行符（％0a）来破坏fastcgi_split_path_info指令中的Regexp。 Regexp被损坏导致PATH_INFO为空，从而触发该漏洞。

影响范围

在 Nginx + PHP-FPM 环境下，当启用了上述 Nginx 配置后，以下 PHP 版本受本次漏洞影响，另外，PHP 5.6版本也受此漏洞影响，但目前只能 Crash，不可以远程代码执行：

• PHP 7.0 版本
• PHP 7.1 版本
• PHP 7.2 版本
• PHP 7.3 版本

漏洞复现

使用 p 牛的 docker 环境进行复现：

PHP-FPM 远程代码执行漏洞（CVE-2019-11043）

准备工作：安装 docker、golang 环境

sudo apt-get install docker docker-compose
sudo apt install golang

搭建漏洞环境

git clone https://github.com/vulhub/vulhub.git
cd vulhub/php/CVE-2019-11043 && docker-compose up -d

启动环境之后，就可以看到漏洞环境的默认页面。在此为 http://127.0.0.1:8080/index.php。

安装漏洞利用工具

git clone https://github.com