Security Online รายงานว่าพบช่องโหว่ใหม่ 2 รายการใน PHP และกำหนดหมายเลขประจำตัวเป็น CVE-2023-3823 และ CVE-2023-3824 ช่องโหว่ CVE-2023-3823 มีคะแนน CVSS อยู่ที่ 8.6 และเป็นช่องโหว่การเปิดเผยข้อมูลที่ทำให้ผู้โจมตีจากระยะไกลสามารถเข้าถึงข้อมูลสำคัญจากแอปพลิเคชัน PHP ได้
ช่องโหว่นี้เกิดจากการตรวจสอบอินพุต XML ที่ผู้ใช้ป้อนไม่เพียงพอ ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ได้โดยการส่งไฟล์ XML ที่สร้างขึ้นเป็นพิเศษไปยังแอปพลิเคชัน โค้ดจะถูกวิเคราะห์โดยแอปพลิเคชัน และผู้โจมตีสามารถเข้าถึงข้อมูลสำคัญ เช่น เนื้อหาของไฟล์ในระบบ หรือผลลัพธ์ของคำขอจากภายนอก
อันตรายก็คือแอปพลิเคชัน ไลบรารี และเซิร์ฟเวอร์ใดๆ ที่วิเคราะห์หรือโต้ตอบกับเอกสาร XML มีความเสี่ยงต่อช่องโหว่นี้
เนื่องจาก PHP เป็นภาษาการเขียนโปรแกรมยอดนิยมในปัจจุบัน ข้อบกพร่องด้านความปลอดภัยจึงถือว่าร้ายแรง
ในขณะเดียวกัน CVE-2023-3824 เป็นช่องโหว่บัฟเฟอร์ล้น (buffer overflow) ที่มีคะแนน CVSS อยู่ที่ 9.4 ซึ่งทำให้ผู้โจมตีจากระยะไกลสามารถรันโค้ดใดๆ ก็ได้บนระบบที่รัน PHP ช่องโหว่นี้เกิดจากฟังก์ชันใน PHP ที่ไม่ได้ตรวจสอบขอบเขตอย่างถูกต้อง ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ได้โดยการส่งคำขอที่สร้างขึ้นเป็นพิเศษไปยังแอปพลิเคชัน ซึ่งทำให้เกิดบัฟเฟอร์ล้นและช่วยให้ผู้โจมตีสามารถควบคุมระบบเพื่อรันโค้ดใดๆ ก็ได้
เนื่องจากความเสี่ยงนี้ ขอแนะนำให้ผู้ใช้อัปเดตระบบเป็น PHP เวอร์ชัน 8.0.30 โดยเร็วที่สุด นอกจากนี้ ควรดำเนินการป้องกันแอปพลิเคชัน PHP จากการโจมตี เช่น การตรวจสอบข้อมูลอินพุตของผู้ใช้ทั้งหมด และการใช้ไฟร์วอลล์เว็บแอปพลิเคชัน (WAF)
ลิงค์ที่มา
![[ภาพ] ตัดเนินเขาเพื่อเปิดทางให้คนสัญจรบนเส้นทาง 14E ที่เกิดดินถล่ม](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/08/1762599969318_ndo_br_thiet-ke-chua-co-ten-2025-11-08t154639923-png.webp)
![[วิดีโอ] อนุสาวรีย์เมืองเว้เปิดต้อนรับนักท่องเที่ยวอีกครั้ง](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/11/05/1762301089171_dung01-05-43-09still013-jpg.webp)
การแสดงความคิดเห็น (0)