Paskudny błąd w PHP7 pozwala każdemu na zdalne wykonywanie kodu

Skąd wiem, że exploita na GH opublikował ziomeczek z kraju nad Wisłą?

Nazwa: "PHuiP-FPizdaM" :)

Chciałbym napisać jeszcze jeden komentarz bo zobaczyłem tytuł i zdałem sobie sprawę, że to bzdura trochę. Bo załóżmy że KAŻDY to nie jest Pani Grażyna z meblowego czy Pan Tomek fryzjer ale... Noooo gość od IT. Nawet ten gość od IT nie wykona tego kodu bo musi
- Mieć konto na hostingu z wersją z podatnością.
- Serwer musi pracować na NGINX i mieć odpowiednią konfigurację
- Ziomek od IT musi sięPokaż całość

Tylko w konfiguracji nginx + php-fpm

I podajemy taki ciąg
/bin/sh+-c+%27id%27&

I vua la ( ͡° ͜ʖ ͡°)

Wordpressy raczej odpadają, bo mają dyrektywę try_files, więc jak ktoś ma wordpress na tym stacku to jest bezpieczny. Eksploit oczywiście #golang :)

zastanawia mnie czemu poc u mnie nie działa (spełniam chyba wszystkie warunki), cloudflare może to blokować?

phuip-fpizdam [https://xxx.xx/xxx.php](https://xxx.xx/xxx.php)
2019/10/28 22:54:42 Base status code is 200
2019/10/28 22:55:07 Detect() returned error: no qsl candidates found, invulnerable or something wrong

PHP rządzi w świecie aplikacji webowych i to się jeszcze długo nie zmieni.

Bug rzeczywiście b. ciekawy. Choć ten fragment to lekka ściema: "Po zidentyfikowaniu wrażliwego celu atakujący mogą wysyłać specjalnie spreparowane żądania, dodając '?a="

Można to zrobić (tj dodać te 3 znaki) ale nie po zidentyfikowaniu celu, tylko dopiero po odpaleniu exploita (jeśli zadziała). Na podobnej zasadzie można powiedzieć, że prawie każdą podatność może wykorzystać nietechniczny atakujący, bo przecież może sciągnąć exploita z sieci i odpalić ;-)

No i jeszcze jest prosty workaround doPokaż całość

Każdemu oprócz mnie, bo i tak nie wiem, o co chodzi.

To już wiemy jak przejęto warez-bb ( ͡º ͜ʖ͡º)