Критическую уязвимость обнаружили в менеджере процессов PHP-FPM клиент-серверного протокола FastCGI для языка программирования PHP, сообщает 28 октября портал OpenNET.

Согласно сообщению, критическая уязвимость CVE-2021-21703 позволяла выполнять код непривилегированному пользователю с правами root. Уязвимость проявлялась на серверах, где PHP-FPM использовался для запуска PHP-скриптов.

Проблема была в том, что PHP-FPM создает родительский и дочерние процессы. Родительский процесс запускается с правами root, а уже от него запускаются дочерние процессы под непривилегированным пользователем. Дочерние процессы выполняют непосредственно PHP-скрипты.

При этом дочерние процессы могли получить доступ к родительскому процессу. Уязвимость появилась с версии PHP 5.3.7, когда в язык встроили менеджер процессов PHP-FPM.

На данный момент уязвимость устранили в обновлениях PHP 7.3.32, 8.0.12, 7.4.25.