Phpunit: Possível quebra de segurança no arquivo

Criado em 3 mai. 2018  ·  4Comentários  ·  Fonte: sebastianbergmann/phpunit

| Q | UMA
| -------------------- | ---------------
| Versão PHPUnit | Eu não sei
| Versão PHP | 7.1.15
| Método de instalação | Compositor

Não tenho phpunit nesse projeto (site wordpress) e meu fornecedor não está exposto a internet, mas acho que isso pode ser um problema, o que acham galera?

Este é o relatório do meu WAF.

Time:       3 May 2018 12:59:35
Session:    This is secret
Client:     Unclassified, from France (212.xxx.yyy.zzz)
User agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML...
Entry page: my.domain/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php
Requests:   1

URL: /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php (POST)
Status: Blocked by security rules
Post: a=%3c%3fphp%20echo%2800000%200000006832%29%3b
Incident ID: Other secret

https://github.com/sebastianbergmann/phpunit/blob/master/src/Util/PHP/eval-stdin.php

picture joubertredrat

Comentários muito úteis

Se você carregar o PHPUnit em um servidor da web de produção, seu processo de implantação será interrompido.

picture sebastianbergmann em 3 mai. 2018
👍23 😄5 🎉1

Todos 4 comentários

https://www.cvedetails.com/cve/CVE-2017-9841/

joubertredrat picture joubertredrat em 3 mai. 2018

Se você carregar o PHPUnit em um servidor da web de produção, seu processo de implantação será interrompido.

sebastianbergmann picture sebastianbergmann em 3 mai. 2018
👍23 😄5 🎉1

@joubertredrat você não deve servir pastas vendor / node_modules.
tente editar a configuração do seu servidor http para retornar alguns códigos de erro para essas pastas

Izopi4a picture Izopi4a em 8 mai. 2018

Se você carregar o PHPUnit em um servidor da web de produção, seu processo de implantação será interrompido.

Este é um ataque comum usado por hackers que procuram máquinas para invadir.
A partir do seu comentário, fica claro que você não tem nenhuma intenção de fazer qualquer coisa para mitigar esse ataque bem conhecido e prejudicial.

Esta é mais uma razão para nunca usar PHP. A comunidade PHP não tem segurança,
e ficam felizes em encolher os ombros e deixar vulnerabilidades massivas em aberto.

amnonbc picture amnonbc em 20 mar. 2020
👎8
Esta página foi útil?
0 / 5 - 0 avaliações

Questões relacionadas

AnmSaiful picture AnmSaiful  ·  4Comentários
ezzatron picture ezzatron  ·  3Comentários
greg0ire picture greg0ire  ·  4Comentários
stephen-leavitt-sonyatv-com picture stephen-leavitt-sonyatv-com  ·  4Comentários
stemis picture stemis  ·  3Comentários