Bahasa pengaturcaraan PHP menemui 2 lagi kelemahan keselamatan

Menurut Security Online , dua kelemahan baharu dalam PHP telah ditemui dan diberikan pengecam CVE-2023-3823 dan CVE-2023-3824. Pepijat CVE-2023-3823 mempunyai skor CVSS 8.6 dan merupakan kelemahan pendedahan maklumat, yang membolehkan penyerang jauh mendapatkan maklumat sensitif daripada aplikasi PHP.

Kerentanan ini disebabkan oleh pengesahan input XML yang dibekalkan pengguna yang tidak mencukupi. Penyerang boleh mengeksploitasinya dengan menghantar fail XML yang direka khas kepada aplikasi. Kod tersebut akan dihuraikan oleh aplikasi dan penyerang boleh mengakses maklumat sensitif, seperti kandungan fail pada sistem atau hasil permintaan luaran.

Bahayanya ialah mana-mana aplikasi, perpustakaan dan pelayan yang menghuraikan atau berinteraksi dengan dokumen XML terdedah kepada kerentanan ini.

Sementara itu, CVE-2023-3824 ialah kelemahan limpahan penimbal dengan skor CVSS 9.4, membolehkan penyerang jauh melaksanakan kod arbitrari pada sistem yang menjalankan PHP. Kerentanan ini disebabkan oleh fungsi dalam PHP yang melakukan semakan sempadan yang tidak betul. Penyerang boleh mengeksploitasinya dengan menghantar permintaan yang direka khas kepada aplikasi, dengan itu menyebabkan limpahan penimbal dan mendapatkan kawalan sistem untuk melaksanakan kod sewenang-wenangnya.

Disebabkan bahaya ini, pengguna dinasihatkan untuk mengemas kini sistem mereka kepada PHP versi 8.0.30 secepat mungkin. Selain itu, langkah perlu diambil untuk melindungi aplikasi PHP daripada serangan, seperti mengesahkan semua input pengguna dan menggunakan tembok api aplikasi web (WAF).