在9 月 14 日至 18 举办的 Real World CTF 中，国外安全研究员 Andrew Danau 在解决一道 CTF 题目时发现，向目标服务器 URL 发送 %0a 符号时，服务返回异常，疑似存在漏洞。 9 月 26 日，PHP 官方发布漏洞通告，其中指出：使用 Nginx + php-fpm 的服务器，在部分配置下，存在远程代码执行漏洞（CVE-2019-11043）。并且该配置已被广泛使用，危害较大。 漏洞 PoC 在 10 月 22 日公开。 漏洞描述 Nginx 上 fastcgi_split_pat …