En el servidor http
(CVE-2019-16278), que permite a un atacante ejecutar código de forma remota en el servidor enviando una solicitud HTTP especialmente diseñada. El problema se solucionará en el lanzamiento.
La vulnerabilidad es causada por un error en la función http_verify, que pierde el acceso al contenido del sistema de archivos fuera del directorio raíz del sitio al pasar la secuencia ".%0d./" en la ruta. La vulnerabilidad se produce porque se realiza una comprobación de la presencia de caracteres "../" antes de ejecutar la función de normalización de ruta, en la que los caracteres de nueva línea (%0d) se eliminan de la cadena.
para
Fuente: opennet.ru