Un error grave en PHP7 permite la ejecución de código remoto en el servidor y tomar el control del mismo, esta vulnerabilidad recibe el CVE: CVE-2019-11043

 

Este problema se encuentra en instalaciones de sitios web que funcionan con el servidor NGINX y PHP-FPM con un tipo de configuración que es muy típica en servicios web en producción.

 

El error principal esta en el modulo PHP-FPM, este error combinado con otros errores, permite la ejecución de código remoto en el servidor afectado. Explotar este fallo es bastante sencillo, además ya hay un exploit que los descubridores del fallo han creado y colgado en su Github.

 

Ya existe un parche para esta vulnerabilidad, así que se recomienda actualizar todas las versiones de php a la ultima versión.