据外媒报道，安全研究员Andrew Danau发现，PHP 7存在远程代码执行漏洞CVE-2019-11043，运行PHP-FPM的网站受影响。

图片来源于pixabay

据悉，该漏洞概念验证PoC代码已被发布，运行PHP 7+版本的服务器易受攻击。由于许多PHP-FPM教程可在Internet上获得部分Web托管提供商正在使用的配置，因此黑客的攻击成功率被大大提高。

图片来源于pixabay

漏洞源于PHP-FPM模块中“env_path_info”的下溢内存损坏，即使不使用特定技能，黑客也可接管服务器，启用PHP-FPM的NGINX服务器受影响。此外，将其与其他问题链接在一起，可能允许黑客在Web服务器上远程执行任意代码。

图片来源于pixabay

截至目前，官方已发布漏洞补丁，但黑客很可能已开始扫描Internet来搜索易受攻击的网站，因此专家建议用户将PHP更新到最新的PHP 7.3.11和PHP 7.2.24以保护网站。