Security Online รายงานว่าพบช่องโหว่ใหม่ 2 รายการใน PHP และกำหนดรหัส CVE-2023-3823 และ CVE-2023-3824 ช่องโหว่ CVE-2023-3823 มีคะแนน CVSS อยู่ที่ 8.6 และเป็นช่องโหว่การเปิดเผยข้อมูล ซึ่งทำให้ผู้โจมตีจากระยะไกลสามารถเข้าถึงข้อมูลสำคัญจากแอปพลิเคชัน PHP ได้
ช่องโหว่นี้เกิดจากการตรวจสอบอินพุต XML ที่ผู้ใช้ป้อนไม่เพียงพอ ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ได้โดยการส่งไฟล์ XML ที่สร้างขึ้นเป็นพิเศษไปยังแอปพลิเคชัน โค้ดจะถูกวิเคราะห์โดยแอปพลิเคชัน และผู้โจมตีสามารถเข้าถึงข้อมูลสำคัญ เช่น เนื้อหาของไฟล์ในระบบ หรือผลลัพธ์ของคำขอจากภายนอก
อันตรายก็คือแอปพลิเคชัน ไลบรารี และเซิร์ฟเวอร์ใดๆ ที่วิเคราะห์หรือโต้ตอบกับเอกสาร XML มีความเสี่ยงต่อช่องโหว่นี้
เนื่องจาก PHP เป็นภาษาการเขียนโปรแกรมยอดนิยมในปัจจุบัน ข้อบกพร่องด้านความปลอดภัยจึงถือว่าร้ายแรง
ในขณะเดียวกัน CVE-2023-3824 เป็นช่องโหว่บัฟเฟอร์ล้น (buffer overflow) ที่มีคะแนน CVSS อยู่ที่ 9.4 ซึ่งทำให้ผู้โจมตีจากระยะไกลสามารถรันโค้ดใดๆ ก็ได้บนระบบที่ใช้ PHP ช่องโหว่นี้เกิดจากฟังก์ชันใน PHP ที่ทำการตรวจสอบขอบเขต (bounds checking) ไม่ถูกต้อง ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ได้โดยการส่งคำขอที่สร้างขึ้นเป็นพิเศษไปยังแอปพลิเคชัน ทำให้เกิดบัฟเฟอร์ล้นและเข้าควบคุมระบบเพื่อรันโค้ดใดๆ ก็ได้
เนื่องจากความเสี่ยงนี้ ขอแนะนำให้ผู้ใช้อัปเดตระบบเป็น PHP เวอร์ชัน 8.0.30 โดยเร็วที่สุด นอกจากนี้ ควรดำเนินการป้องกันแอปพลิเคชัน PHP จากการโจมตี เช่น การตรวจสอบข้อมูลอินพุตของผู้ใช้ทั้งหมด และการใช้ไฟร์วอลล์เว็บแอปพลิเคชัน (WAF)
ลิงค์ที่มา
![[ภาพ] เลขาธิการพรรคโต ลัม เป็นประธานการประชุมเชิงปฏิบัติการร่วมกับคณะกรรมการถาวรของคณะกรรมการพรรครัฐบาล](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/17/cf3d855fdc974fa9a45e80d380b0eb7c)
![[ภาพ] สหภาพแรงงานวิทยาศาสตร์และเทคโนโลยียกย่องคนงานตัวอย่างและเจ้าหน้าที่สหภาพแรงงานที่เป็นเลิศ](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/17/842ff35bce69449290ec23b75727934e)
การแสดงความคิดเห็น (0)