Pe serverul http
(CVE-2019-16278), care permite unui atacator să execute de la distanță cod pe server, trimițând o solicitare HTTP special creată. Problema va fi rezolvată în lansare
Vulnerabilitatea este cauzată de o eroare în funcția http_verify, care pierde accesul la conținutul sistemului de fișiere din afara directorului rădăcină al site-ului prin trecerea secvenței „.%0d./” în cale. Vulnerabilitatea apare deoarece o verificare a prezenței caracterelor „../” este efectuată înainte ca funcția de normalizare a căii să fie executată, în care caracterele newline (%0d) sunt eliminate din șir.
Pentru
Sursa: opennet.ru