Security Onlinen mukaan PHP:stä on löydetty kaksi uutta haavoittuvuutta, joille on annettu tunnisteet CVE-2023-3823 ja CVE-2023-3824. CVE-2023-3823-haavoittuvuus, jonka CVSS-indeksi on 8.6, on tietojen paljastumishaavoittuvuus, jonka avulla etähyökkääjät voivat saada arkaluonteisia tietoja PHP-sovelluksista.
Tämä haavoittuvuus johtuu käyttäjän antaman XML-syötteen epätäydellisestä validoinnista. Hyökkääjä voi hyödyntää sitä lähettämällä sovellukselle erityisesti muodostetun XML-tiedoston. Sovellus jäsentää sitten koodin, jolloin hyökkääjä voi käyttää arkaluonteisia tietoja, kuten järjestelmätiedostojen sisältöä tai ulkoisten pyyntöjen tuloksia.
Vaara piilee siinä, että mikä tahansa sovellus, kirjasto tai palvelin, joka jäsentää XML-dokumentteja tai on vuorovaikutuksessa niiden kanssa, on altis tälle heikkoudelle.
Laajalti käytettynä ohjelmointikielenä PHP:ssä on vakavia tietoturvahaavoittuvuuksia.
Samaan aikaan haavoittuvuus CVE-2023-3824 on puskurin ylivuotohaavoittuvuus, jonka CVSS-pistemäärä on 9,4. Se mahdollistaa etähyökkääjän suorittaa mielivaltaista koodia PHP-pohjaisessa järjestelmässä. Tämän haavoittuvuuden aiheuttaa PHP-funktio, joka tarkistaa rajoituksia virheellisesti. Hyökkääjä voi hyödyntää sitä lähettämällä sovellukselle erityisen pyynnön, mikä aiheuttaa puskurin ylivuodon ja saa järjestelmän hallinnan mielivaltaisen koodin suorittamiseksi.
Tämän vaaran vuoksi käyttäjiä kehotetaan päivittämään järjestelmänsä PHP-versioon 8.0.30 mahdollisimman pian. Lisäksi heidän tulisi ryhtyä toimiin PHP-sovellusten suojaamiseksi hyökkäyksiltä, kuten todentamalla kaikki käyttäjän syötteet ja käyttämällä verkkosovelluspalomuuria (WAF).
[mainos_2]
Lähdelinkki
![[Video] Auringonlasku Lap Anin laguunissa – missä aurinko laskee kalaverkkojen ylle](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/05/31/1780192137701_beach-landscape-sea-water-nature-grass-745871-pxhere-com.jpeg)
Kommentti (0)