Andrew Danau, chercheur en sécurité est presque tombé par hasard sur une faille importante au sein de PHP7 dans le cadre d'un évènement "Capture the Flag", un concours de hack.
Ce dernier a ainsi mis en avant qu'il était possible, sous certaines conditions, de faire exécuter une commande sur un serveur avec le simple ajout des caractères ?=a suivi d'une commande dans une adresse. Le problème a été remonté à l'équipe de développement de PHP qui a annoncé avoir colmaté la brèche le 21 octobre dernier.
Actuellement, le PHP7 représente 79% des sites Web dans le monde. La faille en question ne concernait toutefois que les serveurs NGINX ayant déployé PHP7 via PHP-FPM. Un cas spécifique qui limite donc les sites concernés, mais cette configuration reste malgré tout privilégié de certains hébergeurs, c'est pourquoi NexCloud a demandé à ses clients de mettre à jour leur version de PHP.
