کشف چندین آسیبپذیری در زبان برنامه نویسی PHP
سازندگان زبان برنامه نویسی پیاِچپی (PHP) به تازگی آخرین نسخههای PHP را منتشر کردهاند تا چندین آسیبپذیری را در این نرمافزار وصله کنند، که شدیدترین آنها ممکن است امکان اجرای کد دلخواه از را دور را برای مهاجمین فراهم کرده و سرورهای هدفمند را به خطر بیاندازد.
پیش پردازنده Hypertext، که معمولاً با عنوان PHP شناخته میشود، محبوب ترین زبان برنامه نویسی وب سمت سرور است که امروزه بیش از 78 درصد اینترنت را در اختیار دارد.
سوءاستفاده موفقیت آمیز از این آسیبپذیریها میتواند به مهاجمان اجازه دهد کد دلخواه خود را در چارچوب برنامه تحت تأثیر با امتیازات مرتبط اجرا کند.
از طرف دیگر، تلاشهای ناکام در بهره برداری احتمالاً منجر به منع سرویس (DoS) در سیستمهای آسیب دیده خواهد شد.
این آسیبپذیری میتواند صدها هزار برنامه وب را که به PHP تکیه دارند را در معرض حملات اجرای کد قرار دهد. وبسایتهایی که توسط برخی از سیستمهای مدیریت محتوای محبوب مانند وردپرس، دروپال و typo3 پشتیبانی میشوند، از این دست هستند.
از این میان، وجود آسیبپذیری اجرای کد آزادسازی پس از استفاده با شناسه CVE 2019 13224، در Oniguruma به یک مهاجم از راه دور اجازه میدهد که با وارد کردن یک عبارت خاص در یک برنامه وب تحت تأثیر، از این نقص سوءاستفاده کند، که به طور بالقوه منجر به اجرای کد یا افشای اطلاعات میشود.
تیم امنیتی PHP در جدیدترین نسخهها به این آسیبپذیریها پرداختهاند. بنابراین به کاربران و ارائه دهندگان میزبانی توصیه میشود که سرورهای خود را به آخرین نسخه 7.3.9، 7.2.22 یا 7.1.32 ارتقا دهند.