漏洞描述
PHP是一种在服务器端执行的嵌入HTML文档的脚本语言。基于PHP-CGI的设置在解析PHP文件查询字符串参数时存在一个漏洞,允许远程攻击者可以利用漏洞执行任意代码。当使用PHP-CGI设置时(如Apache mod_cgid模块),php-cgi接收查询字符串作为命令行参数,这些参数允许命令行开关如-s, -d或-c传递给php-cgi进程,可被利用泄露源代码或执行任意代码。如-s命令,允许攻击者获取index.php的源代码:http://localhost/index.php?-s其中Apache mod_php和nginx php-fpm不受此漏洞影响。