在http服务器中
(CVE-2019-16278),允许攻击者通过发送特制的 HTTP 请求来远程执行服务器上的代码。该问题将在发布时修复
该漏洞是由 http_verify 函数中的错误引起的,该函数通过在路径中传递序列“.%0d./”而错过对站点根目录之外的文件系统内容的访问。该漏洞的发生是因为在执行路径规范化函数之前会检查是否存在“../”字符,其中换行符 (%0d) 会从字符串中删除。
为
来源: opennet.ru
在http服务器中
(CVE-2019-16278),允许攻击者通过发送特制的 HTTP 请求来远程执行服务器上的代码。该问题将在发布时修复
该漏洞是由 http_verify 函数中的错误引起的,该函数通过在路径中传递序列“.%0d./”而错过对站点根目录之外的文件系统内容的访问。该漏洞的发生是因为在执行路径规范化函数之前会检查是否存在“../”字符,其中换行符 (%0d) 会从字符串中删除。
为
来源: opennet.ru