如果您正在 NGINX 服务器上运行任何基于 PHP 的网站，并且启用了 PHP-FPM 功能，请当心最近新公开的一个漏洞，黑客有可能利用这个漏洞远程入侵您的网站服务器。 PHP-FPM 是一个PHPFastCGI管理器，可为用 PHP 编程语言编写的脚本提供高级且高效的处理。 主要漏洞是 PHP-FPM 模块中的“ env_path_info”下溢内存损坏问题，攻击者可能借助这个漏洞在易受攻击的 Web 服务器上远程执行任意代码。...

网络技术应用研究公司 W3Techs 近日表示，根据所有网站使用 PHP 版本的情况，从2019年1月1日起，有近62％的网站将会因为无法获得安全更新，而受到恶意攻击。 根据 W3Techs 的调查，从本月 15 日开始，其研究的网站样本中使用的 PHP 的比例高达 78.9％，使用 PHP 5 的网站的比例达到 61.8％。 在子版本中，使用 PHP 5.6 版的网站的比例为 41.5％，使用版本5的比例最高。...

英国安全公司 Secarma 的研究主管 Sam Thomas 本月在 Black Hat 和 BSides 安全会议上展示了 PHP 编程语言的安全漏洞，并指出该漏洞影响了所有接受用户资料的 PHP 应用程序和库，包括 WordPress 等内容管理系统（CMS），并将允许远程程序攻击。 序列化（Serialization）与反序列化（Deserialization）是所有编程语言都具备的功能，序列化将对象转换为字符串，以将数据迁移到不同服务器，服务或应用程序上，然后通过反序列将字符串还原到对象。...

外媒 1 月 22 日消息，CSE Cybsec 的恶意软件专家发现了一个大规模的恶意广告运动 EvilTraffic，利用数万个受感染的网站开展攻击。据悉，黑客在此次攻击活动中利用了一些 CMS 漏洞上传和执行用于通过广告创收的任意 PHP 页面。 研究人员介绍，参与恶意软件 EvilTraffic 活动的受感染网站运行着 WordPress CMS 的各种版本，一旦网站遭到入侵，攻击者将上传一个包含所有恶意文件的 “ zip ” 文件。尽管 “ zip ” 文件对于每一种感染都有不同的名称，但是在未压缩时，它所包含的文件始终具有相同的结构。...

HackerNews.cc 12 月 18 日消息 ，安全研究人员上周披露了影响 vBulletin 论坛 CMS 版本 5 的两个代码执行漏洞，直至目前漏洞尚未得到修复。研究人员表示希望供应商能够在黑客开始利用这些安全漏洞攻击 vBulletin 之前尽快发布补丁。 据悉，这些漏洞是由意大利安全公司 TRUEL IT 的一名专家和一位独立安全研究人员发现的，他们于近期公开了漏洞细节。...

波兰安全研究员 Dawid Golunski 发现流行的邮件发送工具 PHPMailer 存在严重漏洞 （CVE-2016-10033），允许攻击者远程在 web 服务器环境中执行任意代码，对目标 Web 应用程序造成危害。攻击者可利用 PHPMailer 漏洞针对需发送邮件的普通网站组件。 PHPMailer 5.2.18 之前的版本都受到影响。 漏洞修复...