nginx文件路径处理远程命令执行漏洞
详细描述: nginx是多平台的HTTP服务器和邮件代理服务器。
nginx可以被配置为以CGI的方式支持PHP的运行,nginx在处理PHP脚本文件路径的解析时存在问题。如果网站允许上传文件,而且上传文件路径可得到,远程攻击者可以利用此漏洞上传包含恶意代码的文件并得到执行,实现以Web进程权限执行任意命令。
解决办法:修改nginx的配置文件。
①首先修改 fastcgi.conf文件,改为如下内容:
if ($request_filename ~* (.*)\.php) {
set $php_url $1;
}