Пару дней назад специалисты по тестированию уязвимостей сообщили об обнаружении CVE-2019-11043, опасной уязвимости удаленного выполнения кода, которая может затронуть любой веб-сайт PHP 7, использующий PHP-FPM. Использование этой функции очень распространено на веб-сайтах с NGINX, что делает их особенно уязвимыми для использования этого недостатка.

Важно отметить, что уязвимость находится в PHP-FPM, а не в NGINX, поэтому единственным постоянным исправлением является обновление до версии реализа PHP: PHP 7.1.33, PHP 7.2.24 или PHP 7.3.11.

В случае использования уязвимость CVE-2019-11043 может позволить хакерам принудительно выполнить собственный произвольный код на удаленном сервере, используя только специально разработанный URL-адрес.

Лучше всего обновить версию PHP немедленно, в случае, если это невозможно, ниже приведен способ уменьшения этой уязвимости:

Вы можете добавить политику try_files в конфигурацию NGINX, чтобы убедиться, что переменная $uri преобразуется в файл (скрипт PHP) и отклоняет запрос с кодом 404 (не найдено), в противном случае:

location ~ [^/]\.php(/|$) {
    fastcgi_split_path_info ^(.+?\.php)(/.*)$;
    fastcgi_param           PATH_INFO $fastcgi_path_info;
    try_files               $uri =404;
    #...
}

Важно отметить, что это смягчение работает только в том случае, если NGINX и PHP-FPM используют один и тот же docroot  на одном хосте.

Используйте F5 BIG-IP ASM (Application Security Manager) для защиты вашего приложения. Существующие наборы сигнатур «Выполнение команд» и «Инъекция кода на стороне сервера» включают сигнатуры атак, которые блокируют большинство попыток эксплойтов.
Добавьте правило ModSecurity, чтобы заблокировать запросы, содержащие подозрительный символ %0a или %0d:

SecRule REQUEST_URI "@rx %0(a|A|d|D)" "id:1,phase:1,t:lowercase,deny"

Этот метод смягчения, поэтом система все еще под угрозой, еще может найтись способ использовать уязвимость, отметили эксперты по тестированию уязвимостей из Международного института кибербезопасности.