phpunit的漏洞修补
发现,nginx的请求报错日志(error.log)有很多,都是同一个错误,查询同一时间段的访问access.log日志时发现是:
[01/Jun/2023:18:16:21 +0800] “POST /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1” 404 47 “-” “PostmanRuntime/7.32.2”还好都是请求失败的.
查看 phpunit/phpunit安装的版本信息命令:composer show phpunit/phpunit
.发现是想利用phpunit旧版本的一个漏洞:
- 4.8.19 ~ 4.8.27
- 5.0.10 ~ 5.6.2
修复方法:
- 果断一点,生产环境中直接删掉phpunit,没有用。
- 如果不想删,念旧情,直接升级吧,
- 懒打升级?那就直接设置权限,禁止访问该目录
参考链接:https://www.likecs.com/show-204487344.html