زبان برنامه‌نویسی PHP دو آسیب‌پذیری امنیتی دیگر کشف کرد

طبق گزارش Security Online ، دو آسیب‌پذیری جدید در PHP کشف و با شناسه‌های CVE-2023-3823 و CVE-2023-3824 شناسایی شدند. اشکال CVE-2023-3823 دارای امتیاز CVSS 8.6 است و یک آسیب‌پذیری افشای اطلاعات است که به مهاجمان از راه دور اجازه می‌دهد تا اطلاعات حساس را از برنامه PHP به دست آورند.

این آسیب‌پذیری به دلیل اعتبارسنجی ناکافی ورودی XML ارائه شده توسط کاربر است. یک مهاجم می‌تواند با ارسال یک فایل XML دستکاری‌شده خاص به برنامه، از آن سوءاستفاده کند. این کد توسط برنامه تجزیه می‌شود و مهاجم می‌تواند به اطلاعات حساس، مانند محتوای فایل‌های روی سیستم یا نتایج درخواست‌های خارجی، دسترسی پیدا کند.

خطر این است که هر برنامه، کتابخانه و سروری که اسناد XML را تجزیه یا با آنها تعامل دارد، در برابر این آسیب‌پذیری آسیب‌پذیر است.

در همین حال، CVE-2023-3824 یک آسیب‌پذیری سرریز بافر با امتیاز CVSS 9.4 است که به مهاجمان از راه دور اجازه می‌دهد تا کد دلخواه را روی سیستم‌هایی که PHP را اجرا می‌کنند، اجرا کنند. این آسیب‌پذیری به دلیل تابعی در PHP است که مرزهای خود را به درستی بررسی نمی‌کند. یک مهاجم می‌تواند با ارسال یک درخواست دستکاری‌شده خاص به برنامه، از آن سوءاستفاده کند که باعث سرریز بافر شده و به آنها کمک می‌کند تا کنترل سیستم را برای اجرای کد دلخواه به دست آورند.

به دلیل این خطر، به کاربران توصیه می‌شود سیستم‌های خود را در اسرع وقت به نسخه PHP 8.0.30 به‌روزرسانی کنند. علاوه بر این، باید اقداماتی برای محافظت از برنامه‌های PHP در برابر حملات انجام شود، مانند اعتبارسنجی تمام ورودی‌های کاربر و استفاده از فایروال برنامه‌های وب (WAF).