Критическая уязвимость PHP-FPM (CVE-2019-11043)

Стало известно о критической уязвимости PHP-FPM (CVE-2019-11043), которая позволяет удалённо выполнить вредоносный код на сервере.

Уже доступны корректирующие релизы PHP 7.3.11, 7.1.33 и 7.2.24, в которых устранена данная уязвимость. Найти их можно по ссылке.

По информации opennet.ru, атака возможна в конфигурациях nginx, в которых проброс в PHP-FPM осуществляется c разделением частей URL при помощи «fastcgi_split_path_info» и определением переменной окружения PATH_INFO, но без предварительной проверки существования файла директивой «try_files $fastcgi_script_name» или конструкцией «if (!-f $document_root$fastcgi_script_name)».