وفقًا لموقع Security Online ، تم اكتشاف ثغرتين جديدتين في PHP، وأُطلق عليهما المعرفان CVE-2023-3823 وCVE-2023-3824. تبلغ درجة CVSS للثغرة CVE-2023-3823 8.6، وهي ثغرة تسمح بالإفصاح عن المعلومات، مما يسمح للمهاجمين عن بُعد بالحصول على معلومات حساسة من تطبيق PHP.
تنشأ هذه الثغرة الأمنية بسبب عدم التحقق الكافي من بيانات XML المُدخلة من المستخدم. يمكن للمهاجم استغلالها بإرسال ملف XML مُصمم خصيصًا إلى التطبيق. سيقوم التطبيق بتحليل الشيفرة البرمجية، ما يُمكّنه من الوصول إلى معلومات حساسة، مثل محتويات ملفات النظام أو نتائج الطلبات الخارجية.
الخطر هو أن أي تطبيق أو مكتبة أو خادم يقوم بتحليل مستندات XML أو التفاعل معها معرض للخطر بسبب هذه الثغرة الأمنية.
باعتبارها لغة برمجة شائعة اليوم، فإن العيوب الأمنية في PHP خطيرة.
في الوقت نفسه، تُعدّ CVE-2023-3824 ثغرة أمنية تُسبب تجاوز سعة المخزن المؤقت، بدرجة CVSS 9.4، مما يسمح للمهاجمين عن بُعد بتنفيذ أوامر برمجية عشوائية على أنظمة تعمل بلغة PHP. تعود هذه الثغرة إلى دالة في PHP تُجري فحصًا غير صحيح للحدود. يمكن للمهاجم استغلالها بإرسال طلب مُصمم خصيصًا إلى التطبيق، مما يُسبب تجاوز سعة المخزن المؤقت، ويمكّنه من التحكم في النظام لتنفيذ أوامر برمجية عشوائية.
نظرًا لهذا الخطر، يُنصح المستخدمون بتحديث أنظمتهم إلى إصدار PHP 8.0.30 في أقرب وقت ممكن. بالإضافة إلى ذلك، ينبغي اتخاذ خطوات لحماية تطبيقات PHP من الهجمات، مثل التحقق من صحة جميع مدخلات المستخدم واستخدام جدار حماية تطبيقات الويب (WAF).
[إعلان 2]
رابط المصدر
تعليق (0)