【网络安全】关于PHP Study nginx解析高危漏洞的预警通报

网络安全

近日，山石网科安全研究院监测发现PHPStudy Windows最新版本存在nginx解析漏洞，可以造成任意代码执行。

一、漏洞情况

phpStudy是一个PHP调试环境的程序集成包，该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer，一次性安装，无须配置即可使用。2019年9月，该软件包遭遇供应链攻击，黑客在phpStudy集成软件包植入后门，污染多个软件下载源，控制数十万台机器。本次爆出的漏洞是nginx的解析漏洞，也就是存在已久的/xx.php解析漏洞。攻击者可通过网站的上传接口上传伪装成正常文件（比如图片、文档等）的恶意代码，从而获取服务器的权限。

二、影响范围

phpStudy <=8.1.0.7 for Windows，Linux版本不受此漏洞影响。

三、处置建议

目前该漏洞尚未修复，请受影响用户密切关注phpStudy官方的版本更新以修复漏洞。

临时解决方案：

（一）手动将php.ini中的cgi.fix_pathinfo选项置为0;

（二）fastcgi.conf中定义try_files$fastcgi_script_name =404。

附件：参考链接：https://www.xp.cn/wenda/50191.html