严重程度：高

CVE编号：CVE-2019-11043

影响版本：存在错误配置

在Real World CTF中，国外安全研究员Andrew Danau在解决一道CTF题目时发现，向目标服务器URL发送%0a符号时，服务返回异常，疑似存在漏洞。经过研判在使用一些有错误的Nginx配置的情况下，通过恶意构造的数据包，即可让PHP-FPM执行任意代码。

当Nginx使用特定的fastcgi配置时，存在远程代码执行漏洞，但这个配置并非Nginx默认配置。当fastcgi_split_path_info字段被配置为 ^(.+?\.php)(/.*)$;时，攻击者可以通过精心构造的payload，造成远程代码执行漏洞，该配置已被广泛使用，危害较大。

Nginx+php-fpm的服务器，在使用如下配置的情况下，都可能存在远程代码执行漏洞：

location ~ [^/]\.php(/|$) {

     fastcgi_split_path_info ^(.+?\.php)(/.*)$;

     fastcgi_param PATH_INFO       $fastcgi_path_info;

     fastcgi_pass   php:9000;

     ...

}

漏洞复现：

1.使用github中的最新的PHP版本，下载地址：

https://github.com/php/php-src

2.如果业务不需要以下配置，建议用户删除：

fastcgi_split_path_info ^(.+?\.php)(/.*)$;

        fastcgi_param PATH_INFO       $fastcgi_path_info;

3.修改 nginx 配置文件中fastcgi_split_path_info的正则表达式,不允许.php之后传入不可显字符。