Пару дней назад специалисты по тестированию уязвимостей сообщили об обнаружении CVE-2019-11043, опасной уязвимости удаленного выполнения кода, которая может затронуть любой веб-сайт PHP 7, использующий PHP-FPM. Использование этой функции очень распространено на веб-сайтах с NGINX, что делает их особенно уязвимыми для использования этого недостатка.

Важно отметить, что уязвимость находится в PHP-FPM, а не в NGINX, поэтому единственным постоянным исправлением является обновление до версии реализа PHP: PHP 7.1.33, PHP 7.2.24 или PHP 7.3.11.

В случае использования уязвимость CVE-2019-11043 может позволить хакерам принудительно выполнить собственный произвольный код на удаленном сервере, используя только специально разработанный URL-адрес.

Лучше всего обновить версию PHP немедленно, в случае, если это невозможно, ниже приведен способ уменьшения этой уязвимости:

Вы можете добавить политику try_files в конфигурацию NGINX, чтобы убедиться, что переменная $uri преобразуется в файл (скрипт PHP) и отклоняет запрос с кодом 404 (не найдено), в противном случае:

Важно отметить, что это смягчение работает только в том случае, если NGINX и PHP-FPM используют один и тот же docroot  на одном хосте.

Используйте F5 BIG-IP ASM (Application Security Manager) для защиты вашего приложения. Существующие наборы сигнатур «Выполнение команд» и «Инъекция кода на стороне сервера» включают сигнатуры атак, которые блокируют большинство попыток эксплойтов.
Добавьте правило ModSecurity, чтобы заблокировать запросы, содержащие подозрительный символ %0a или %0d:

Этот метод смягчения, поэтом система все еще под угрозой, еще может найтись способ использовать уязвимость, отметили эксперты по тестированию уязвимостей из Международного института кибербезопасности.