Phpunit: Posible ruptura de seguridad en el archivo

Creado en 3 may. 2018  ·  4Comentarios  ·  Fuente: sebastianbergmann/phpunit

| Q | A
| -------------------- | ---------------
| Versión PHPUnit | No sé
| Versión PHP | 7.1.15
| Método de instalación | Compositor

No tengo phpunit en este proyecto (sitio de wordpress) y mi proveedor no está expuesto a Internet, pero creo que esto puede ser un problema, ¿qué piensan, chicos?

Este es un informe de mi WAF.

Time:       3 May 2018 12:59:35
Session:    This is secret
Client:     Unclassified, from France (212.xxx.yyy.zzz)
User agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML...
Entry page: my.domain/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php
Requests:   1

URL: /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php (POST)
Status: Blocked by security rules
Post: a=%3c%3fphp%20echo%2800000%200000006832%29%3b
Incident ID: Other secret

https://github.com/sebastianbergmann/phpunit/blob/master/src/Util/PHP/eval-stdin.php

picture joubertredrat

Comentario más útil

Si carga PHPUnit en un servidor web de producción, su proceso de implementación se interrumpe.

picture sebastianbergmann en 3 may. 2018
👍23 😄5 🎉1

Todos 4 comentarios

https://www.cvedetails.com/cve/CVE-2017-9841/

joubertredrat picture joubertredrat en 3 may. 2018

Si carga PHPUnit en un servidor web de producción, su proceso de implementación se interrumpe.

sebastianbergmann picture sebastianbergmann en 3 may. 2018
👍23 😄5 🎉1

@joubertredrat, no debe servir las carpetas vendor / node_modules.
intente editar la configuración de su servidor http para devolver algunos códigos de error para esas carpetas

Izopi4a picture Izopi4a en 8 may. 2018

Si carga PHPUnit en un servidor web de producción, su proceso de implementación se interrumpe.

Este es un ataque común utilizado por los piratas informáticos que buscan máquinas para ingresar.
De su comentario, está claro que no tiene ninguna intención de hacer nada para mitigar este conocido y dañino ataque.

Esta es una razón más para no usar PHP nunca. La comunidad PHP no tiene seguridad
y están felices de encogerse de hombros y dejar abiertas vulnerabilidades masivas.

amnonbc picture amnonbc en 20 mar. 2020
👎8
¿Fue útil esta página
0 / 5 - 0 calificaciones

Temas relacionados

edyan picture edyan  ·  4Comentarios
klesun picture klesun  ·  4Comentarios
stephen-leavitt-sonyatv-com picture stephen-leavitt-sonyatv-com  ·  4Comentarios
keradus picture keradus  ·  4Comentarios
nicklevett picture nicklevett  ·  4Comentarios