简介

phpstudy 是一个php快速集成环境, 主要用于学习测试, 但是也有很多人为了方便行事就直接拿来部署服务器了

 

影响版本

Phpstudy<=8.1.0.7

 

漏洞复现

首先上传恶意图片文件

然后访问your-IP/1.jpg/.php即可执行我们的恶意代码

修复建议

已经发布最新版的更新提示，直接确认更新即可

临时解决方案

因为cgi.fix_pathinfo这项配置用于修复路径，当发现当前路径不存在则采用上层路径

因此将php.ini文件中的cgi.fix_pathinfo的值设置为0，既会显示404页面