ອີງຕາມ ຄວາມປອດໄພອອນໄລນ໌ , ສອງຊ່ອງໂຫວ່ໃຫມ່ໃນ PHP ໄດ້ຖືກຄົ້ນພົບແລະມອບຫມາຍຕົວລະບຸ CVE-2023-3823 ແລະ CVE-2023-3824. ບັກ CVE-2023-3823 ມີຄະແນນ CVSS ຢູ່ທີ່ 8.6 ແລະເປັນຊ່ອງໂຫວ່ການເປີດເຜີຍຂໍ້ມູນທີ່ເຮັດໃຫ້ຜູ້ໂຈມຕີທາງໄກສາມາດໄດ້ຮັບຂໍ້ມູນທີ່ລະອຽດອ່ອນຈາກແອັບພລິເຄຊັນ PHP.
ຊ່ອງໂຫວ່ນີ້ແມ່ນເນື່ອງມາຈາກການກວດສອບບໍ່ພຽງພໍຂອງການປ້ອນຂໍ້ມູນ XML ທີ່ສະໜອງໃຫ້ໂດຍຜູ້ໃຊ້. ຜູ້ໂຈມຕີສາມາດຂູດຮີດມັນໂດຍການສົ່ງໄຟລ໌ XML ທີ່ສ້າງຂຶ້ນພິເສດໄປຫາແອັບພລິເຄຊັນ. ລະຫັດຈະຖືກວິເຄາະໂດຍແອັບພລິເຄຊັນ ແລະຜູ້ໂຈມຕີສາມາດເຂົ້າເຖິງຂໍ້ມູນທີ່ລະອຽດອ່ອນ ເຊັ່ນ: ເນື້ອໃນຂອງໄຟລ໌ໃນລະບົບ ຫຼືຜົນຂອງການຮ້ອງຂໍພາຍນອກ.
ອັນຕະລາຍແມ່ນວ່າແອັບພລິເຄຊັນ, ຫ້ອງສະໝຸດ, ແລະເຊີບເວີທີ່ວິເຄາະ ຫຼືພົວພັນກັບເອກະສານ XML ແມ່ນມີຄວາມສ່ຽງຕໍ່ຊ່ອງໂຫວ່ນີ້.
ໃນຖານະເປັນພາສາການຂຽນໂປລແກລມທີ່ນິຍົມໃນມື້ນີ້, ຂໍ້ຜິດພາດດ້ານຄວາມປອດໄພຂອງ PHP ແມ່ນຮ້າຍແຮງ.
ໃນຂະນະດຽວກັນ, CVE-2023-3824 ແມ່ນຊ່ອງໂຫວ່ຂອງ buffer overflow ທີ່ມີຄະແນນ CVSS ຂອງ 9.4, ອະນຸຍາດໃຫ້ຜູ້ໂຈມຕີທາງໄກສາມາດປະຕິບັດລະຫັດ arbitrary ໃນລະບົບທີ່ໃຊ້ PHP. ຊ່ອງໂຫວ່ແມ່ນເນື່ອງມາຈາກການເຮັດວຽກໃນ PHP ທີ່ບໍ່ໄດ້ກວດສອບຂອບເຂດຂອງມັນຢ່າງຖືກຕ້ອງ. ຜູ້ໂຈມຕີສາມາດຂູດຮີດມັນໄດ້ໂດຍການສົ່ງຄໍາຮ້ອງຂໍທີ່ສ້າງຂື້ນພິເສດໄປຫາແອັບພລິເຄຊັນ, ເຊິ່ງເຮັດໃຫ້ເກີດການລົ້ນ buffer ແລະຊ່ວຍໃຫ້ພວກເຂົາໄດ້ຮັບການຄວບຄຸມຂອງລະບົບເພື່ອປະຕິບັດລະຫັດທີ່ມັກ.
ເນື່ອງຈາກອັນຕະລາຍນີ້, ຜູ້ໃຊ້ໄດ້ຖືກແນະນໍາໃຫ້ປັບປຸງລະບົບຂອງເຂົາເຈົ້າເປັນ PHP ເວີຊັ່ນ 8.0.30 ໄວເທົ່າທີ່ຈະໄວໄດ້. ນອກຈາກນັ້ນ, ຂັ້ນຕອນຄວນຖືກປະຕິບັດເພື່ອປົກປ້ອງແອັບພລິເຄຊັນ PHP ຈາກການໂຈມຕີ, ເຊັ່ນ: ການກວດສອບຂໍ້ມູນຜູ້ໃຊ້ທັງຫມົດແລະການນໍາໃຊ້ web application firewall (WAF).
ແຫຼ່ງທີ່ມາ
![[ຮູບພາບ] ທ່ານເລຂາທິການໃຫຍ່ To Lam ຕ້ອນຮັບທ່ານຜູ້ອຳນວຍການສະຖາບັນການບໍລິຫານລັດ ແລະເສດຖະກິດແຫ່ງຊາດ ພາຍໃຕ້ການເປັນປະທານສະຫະພັນລັດເຊຍ](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F08%2F1765200203892_a1-bnd-0933-4198-jpg.webp&w=3840&q=75)
(0)