Sur le serveur http
(CVE-2019-16278), qui permet à un attaquant d'exécuter du code à distance sur le serveur en envoyant une requête HTTP spécialement conçue. Le problème sera résolu dans la version
La vulnérabilité est causée par une erreur dans la fonction http_verify, qui manque l'accès au contenu du système de fichiers en dehors du répertoire racine du site en passant la séquence « .%0d./ » dans le chemin. La vulnérabilité se produit car une vérification de la présence de caractères « ../ » est effectuée avant l'exécution de la fonction de normalisation du chemin, dans laquelle les caractères de nouvelle ligne (%0d) sont supprimés de la chaîne.
Pour
Source: opennet.ru