360网站安全检测：发现高危漏洞

360网站安全小组最近更新了漏洞库，并且对新的漏洞进行了监测，我们发现您的网站存在:IIS+PHP fastcgi模式 pathinfo取值错误任意代码执行漏洞，黑客可以利用这个漏洞入侵您的网站。我们强烈建议您修复漏洞

服务器环境：win2012系统 bt版本5.1

今天收到360的邮件。。。。

这个面板能修复吗？ TIM截图20180118160941.jpg

沐沐 · 发表于 2018-1-19 09:03:52

你自己查看用宝塔安装的PHP路径，在查看报高危漏洞的路径，这根本不是通过宝塔安装的PHP，这锅我们不背！

mg · 发表于 2018-1-19 11:59:12

沐沐发表于 2018-1-19 09:03
你自己查看用宝塔安装的PHP路径，在查看报高危漏洞的路径，这根本不是通过宝塔安装的PHP，这锅我们不背！ ...

……这个路径是 360提供的解决方案而已，没有说是宝塔啊、
我把php.ini参数cgi.fix_pathinfo改成0
360重新扫描就没有漏洞了。

用宝塔默认安装的php配置 cgi.fix_pathinfo默认是1