ອີງຕາມ ຄວາມປອດໄພອອນໄລນ໌ , ສອງຊ່ອງໂຫວ່ໃຫມ່ໃນ PHP ໄດ້ຖືກຄົ້ນພົບແລະມອບຫມາຍຕົວລະບຸ CVE-2023-3823 ແລະ CVE-2023-3824. ບັກ CVE-2023-3823 ມີຄະແນນ CVSS ຢູ່ທີ່ 8.6 ແລະເປັນຊ່ອງໂຫວ່ການເປີດເຜີຍຂໍ້ມູນທີ່ເຮັດໃຫ້ຜູ້ໂຈມຕີທາງໄກສາມາດໄດ້ຮັບຂໍ້ມູນທີ່ລະອຽດອ່ອນຈາກແອັບພລິເຄຊັນ PHP.
ຊ່ອງໂຫວ່ນີ້ແມ່ນເນື່ອງມາຈາກການກວດສອບບໍ່ພຽງພໍຂອງການປ້ອນຂໍ້ມູນ XML ທີ່ສະໜອງໃຫ້ໂດຍຜູ້ໃຊ້. ຜູ້ໂຈມຕີສາມາດຂູດຮີດມັນໂດຍການສົ່ງໄຟລ໌ XML ທີ່ສ້າງຂຶ້ນພິເສດໄປຫາແອັບພລິເຄຊັນ. ລະຫັດຈະຖືກວິເຄາະໂດຍແອັບພລິເຄຊັນ ແລະຜູ້ໂຈມຕີສາມາດເຂົ້າເຖິງຂໍ້ມູນທີ່ລະອຽດອ່ອນ ເຊັ່ນ: ເນື້ອໃນຂອງໄຟລ໌ໃນລະບົບ ຫຼືຜົນຂອງການຮ້ອງຂໍພາຍນອກ.
ອັນຕະລາຍແມ່ນວ່າແອັບພລິເຄຊັນ, ຫ້ອງສະໝຸດ, ແລະເຊີບເວີທີ່ວິເຄາະ ຫຼືພົວພັນກັບເອກະສານ XML ແມ່ນມີຄວາມສ່ຽງຕໍ່ຊ່ອງໂຫວ່ນີ້.
ໃນຖານະເປັນພາສາການຂຽນໂປລແກລມທີ່ນິຍົມໃນມື້ນີ້, ຂໍ້ຜິດພາດດ້ານຄວາມປອດໄພຂອງ PHP ແມ່ນຮ້າຍແຮງ.
ໃນຂະນະດຽວກັນ, CVE-2023-3824 ແມ່ນຊ່ອງໂຫວ່ຂອງ buffer overflow ທີ່ມີຄະແນນ CVSS ຂອງ 9.4, ອະນຸຍາດໃຫ້ຜູ້ໂຈມຕີທາງໄກສາມາດປະຕິບັດລະຫັດ arbitrary ໃນລະບົບທີ່ໃຊ້ PHP. ຊ່ອງໂຫວ່ແມ່ນເນື່ອງມາຈາກການເຮັດວຽກໃນ PHP ທີ່ບໍ່ໄດ້ກວດສອບຂອບເຂດຂອງມັນຢ່າງຖືກຕ້ອງ. ຜູ້ໂຈມຕີສາມາດຂູດຮີດມັນໄດ້ໂດຍການສົ່ງຄໍາຮ້ອງຂໍທີ່ສ້າງຂື້ນພິເສດໄປຫາແອັບພລິເຄຊັນ, ເຊິ່ງເຮັດໃຫ້ເກີດການລົ້ນ buffer ແລະຊ່ວຍໃຫ້ພວກເຂົາໄດ້ຮັບການຄວບຄຸມຂອງລະບົບເພື່ອປະຕິບັດລະຫັດທີ່ມັກ.
ເນື່ອງຈາກອັນຕະລາຍນີ້, ຜູ້ໃຊ້ໄດ້ຖືກແນະນໍາໃຫ້ປັບປຸງລະບົບຂອງເຂົາເຈົ້າເປັນ PHP ເວີຊັ່ນ 8.0.30 ໄວເທົ່າທີ່ຈະໄວໄດ້. ນອກຈາກນັ້ນ, ຂັ້ນຕອນຄວນຖືກປະຕິບັດເພື່ອປົກປ້ອງແອັບພລິເຄຊັນ PHP ຈາກການໂຈມຕີ, ເຊັ່ນ: ການກວດສອບຂໍ້ມູນຜູ້ໃຊ້ທັງຫມົດແລະການນໍາໃຊ້ web application firewall (WAF).
ແຫຼ່ງທີ່ມາ
![[ພາບ] ຄວາມສຸກຢູ່ຂົວໃໝ່ຜົ້ງສາລີ](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/28/b00322b29c8043fbb8b6844fdd6c78ea)
![[ຮູບພາບ] ກອງປະຊຸມຄັ້ງທີ 4 ຂອງຄະນະກໍາມະການຮ່ວມມືລະຫວ່າງສະພາແຫ່ງຊາດຫວຽດນາມແລະລັດ Duma ຂອງລັດເຊຍ](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/28/9f9e84a38675449aa9c08b391e153183)
![[ຮູບພາບ] ຄະນະຜູ້ແທນຂັ້ນສູງລັດເຊຍ Duma ຢ້ຽມຢາມສຸສານປະທານໂຮ່ຈິມິນ](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/28/c6dfd505d79b460a93752e48882e8f7e)
(0)