Nel server http
(CVE-2019-16278), che consente a un utente malintenzionato di eseguire in remoto codice sul server inviando una richiesta HTTP appositamente predisposta. Il problema verrà risolto nel rilascio
La vulnerabilità è causata da un errore nella funzione http_verify, che non consente l'accesso ai contenuti del file system al di fuori della directory principale del sito passando la sequenza ".%0d./" nel percorso. La vulnerabilità si verifica perché prima dell'esecuzione della funzione di normalizzazione del percorso viene eseguita una verifica della presenza dei caratteri "../", in cui i caratteri di nuova riga (%0d) vengono rimossi dalla stringa.
per
Fonte: opennet.ru