Phpunit: Rupture de sécurité possible sur le fichier

Créé le 3 mai 2018  ·  4Commentaires  ·  Source: sebastianbergmann/phpunit

| Q | UNE
| --------------------| ---------------
| Version PHPUnit | Je ne sais pas
| Version PHP | 7.1.15
| Méthode d'installation | Compositeur

Je n'ai pas phpunit dans ce projet (site wordpress) et mon fournisseur n'est pas exposé à internet, mais je pense que cela peut être un problème, qu'en pensez-vous les gars ?

Ceci est le rapport de mon WAF.

Time:       3 May 2018 12:59:35
Session:    This is secret
Client:     Unclassified, from France (212.xxx.yyy.zzz)
User agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML...
Entry page: my.domain/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php
Requests:   1

URL: /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php (POST)
Status: Blocked by security rules
Post: a=%3c%3fphp%20echo%2800000%200000006832%29%3b
Incident ID: Other secret

https://github.com/sebastianbergmann/phpunit/blob/master/src/Util/PHP/eval-stdin.php

picture joubertredrat

Commentaire le plus utile

Si vous téléchargez PHPUnit sur un serveur Web de production, votre processus de déploiement est interrompu.

picture sebastianbergmann le 3 mai 2018
👍23 😄5 🎉1

Tous les 4 commentaires

https://www.cvedetails.com/cve/CVE-2017-9841/

joubertredrat picture joubertredrat le 3 mai 2018

Si vous téléchargez PHPUnit sur un serveur Web de production, votre processus de déploiement est interrompu.

sebastianbergmann picture sebastianbergmann le 3 mai 2018
👍23 😄5 🎉1

@joubertredrat vous ne devez pas servir les dossiers vendor / node_modules.
essayez de modifier la configuration de votre serveur http pour renvoyer des codes d'erreur pour ces dossiers

Izopi4a picture Izopi4a le 8 mai 2018

Si vous téléchargez PHPUnit sur un serveur Web de production, votre processus de déploiement est interrompu.

Il s'agit d'une attaque courante utilisée par les pirates à la recherche de machines à pénétrer.
D'après votre commentaire, il est clair que vous n'avez aucune intention de faire quoi que ce soit pour atténuer cette attaque bien connue et dommageable.

C'est une raison de plus de ne jamais utiliser PHP. La communauté PHP ne bénéficie pas de la sécurité,
et sont heureux de hausser les épaules et de laisser ouvertes des vulnérabilités massives.

amnonbc picture amnonbc le 20 mars 2020
👎8
Cette page vous a été utile?
0 / 5 - 0 notes

Questions connexes

stephen-leavitt-sonyatv-com picture stephen-leavitt-sonyatv-com  ·  4Commentaires
nicklevett picture nicklevett  ·  4Commentaires
klesun picture klesun  ·  4Commentaires
AnmSaiful picture AnmSaiful  ·  4Commentaires
TiMESPLiNTER picture TiMESPLiNTER  ·  3Commentaires