phpstudy内置nginx组件存在文件解析漏洞
- cnnvd编号:未知
- 危害等级: 高危
- cve编号:未知
- 漏洞类型: 文件解析
- 威胁类型:未知
- 厂 商:未知
- 漏洞来源:未知
- 发布时间:2020-09-11
- 更新时间:2020-12-11
漏洞简介
2020年9月3日,深信服安全团队跟踪到phpstudy nginx解析漏洞信息,该漏洞是由于phpstudy中内置的nginx存在错误配置,导致php文件解析漏洞,攻击者可以通过***.png/.php形式,将png文件解析为php文件,从而实现任意代码执行。
此漏洞常被用于以下场景:攻击者通过文件上传接口,将恶意代码伪装为正常文件(如png、jpg、txt等)上传至,最后执行恶意代码获取的最高权限。
漏洞公示
在正规网赌十大娱乐棋牌官网下载最新版本phpstudy复现该漏洞,如下:
参考网站
暂无
受影响实体
目前受影响的phpstudy版本:
phpstudy <= v8.1.0.7 for windows(官方最新版本)
补丁
1 修复建议
官方暂未修复该漏洞,请受影响的用户及时关注官方获取最新版本的更新:https://www.xp.cn/
2 深信服正规网赌十大娱乐棋牌的解决方案
【深信服下一代防火墙】可轻松防御此漏洞,建议部署深信服下一代防火墙的用户开启安全防护规则,可轻松抵御此高危风险。
【深信服云盾】已第一时间从云端自动更新防护规则,云盾用户无需操作,即可轻松、快速防御此高危风险。
【深信服安全感知平台】可检测利用该漏洞的攻击,实时告警,并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。
【深信服安全运营服务】深信服云端安全专家提供7*24小时持续的安全运营服务。在漏洞爆发之初,对存在漏洞的用户,检查并更新了客户防护设备的策略,确保客户防护设备可以防御此漏洞风险。
