В http сървър
(CVE-2019-16278), което позволява на атакуващ да изпълни дистанционно код на сървъра чрез изпращане на специално изработена HTTP заявка. Проблемът ще бъде решен в изданието
Уязвимостта е причинена от грешка във функцията http_verify, която пропуска достъп до съдържанието на файловата система извън основната директория на сайта чрез предаване на последователността ".%0d./" в пътя. Уязвимостта възниква, защото се извършва проверка за наличието на знаци „../“ преди да се изпълни функцията за нормализиране на пътя, при която знаците за нов ред (%0d) се премахват от низа.
За
Източник: opennet.ru