CERTFR-2019-ALE-014

Le CERT-FR a publié un avis concernant la CVE-2019-11043 qui affecte PHP et permet l'exécution de code arbitraire à distance. Un code d'exploitation est maintenant disponible sur internet, facilitant l'utilisation de cette vulnérabilité. Ce code d'exploitation nécessite une configuration communément recommandée de nginx et php-fpm utilisant `fastcgi_split_path_info`. Voici un exemple de configuration vulnérable: location ~ [^/]\.php(/|$) { ... fastcgi_split_path_info ^(.+?\.php)(/.*)$; fastcgi_param PATH_INFO $fastcgi_path_info; fastcgi_pass php:9000; ... } Il est possible que d'autres chemins d'exploitation non connus à ce jour permettent d'abuser de la vulnérabilité. Le CERT-FR recommande fortement la mise à jour de php vers une version non vulnérable, et ce dans les plus brefs délais si votre configuration nginx utilise `fastcgi_split_path_info`. Les versions de PHP antérieures à 7.1 peuvent être également affectées, et ne bénéficieront pas de mise à jour. Il est primordial d'utiliser une version supportée par l'éditeur.