近期,国外安全研究员Andrew Danau,在参加夺旗赛(CTF: Capture the Flag)期间,偶然发现php-fpm组件处理特定请求时存在缺陷:在特定Nginx配置下,特定构造的请求会造成php-fpm处理异常,进而导致远程执行任意代码.当前,作者已经在github上公布了相关漏洞信息及自动化利用程序.鉴于Nginx+PHP组合在Web应用开发领域拥有极高的市场占有率,该漏洞影响范围较为广泛. 漏洞概述 PHP-FPM在Nginx特定配置下存在任意代码执行漏洞.具体为: 使用Ng