Bahasa pengaturcaraan PHP menemui 2 lagi kelemahan keselamatan

Menurut Security Online , dua kelemahan baharu dalam PHP telah ditemui dan diberikan pengecam CVE-2023-3823 dan CVE-2023-3824. Pepijat CVE-2023-3823 mempunyai skor CVSS 8.6 dan merupakan kelemahan pendedahan maklumat yang membolehkan penyerang jauh mendapatkan maklumat sensitif daripada aplikasi PHP.

Kerentanan ini disebabkan oleh pengesahan input XML yang dibekalkan pengguna yang tidak mencukupi. Penyerang boleh mengeksploitasinya dengan menghantar fail XML yang direka khas kepada aplikasi. Kod tersebut akan dihuraikan oleh aplikasi dan penyerang boleh mengakses maklumat sensitif, seperti kandungan fail pada sistem atau hasil permintaan luaran.

Bahayanya ialah mana-mana aplikasi, perpustakaan dan pelayan yang menghuraikan atau berinteraksi dengan dokumen XML terdedah kepada kerentanan ini.

Sementara itu, CVE-2023-3824 ialah kelemahan limpahan penimbal dengan skor CVSS 9.4, membolehkan penyerang jauh melaksanakan kod arbitrari pada sistem yang menjalankan PHP. Kerentanan ini disebabkan oleh fungsi dalam PHP yang tidak menyemak hadnya dengan betul. Penyerang boleh mengeksploitasinya dengan menghantar permintaan yang direka khas kepada aplikasi, yang menyebabkan limpahan penimbal dan membantu mereka mengawal sistem untuk melaksanakan kod sewenang-wenangnya.

Disebabkan bahaya ini, pengguna dinasihatkan untuk mengemas kini sistem mereka kepada PHP versi 8.0.30 secepat mungkin. Di samping itu, langkah perlu diambil untuk melindungi aplikasi PHP daripada serangan, seperti mengesahkan semua input pengguna dan menggunakan firewall aplikasi web (WAF).