نقص امنیتی در نسخه‌های جدید زبان برنامه‌نویسی PHP

مهر : مرکز مدیریت راهبردی افتای ریاست جمهوری نسبت به شناسایی نقص امنیتی در نسخه‌های جدید زبان برنامه‌نویسی PHP هشدار داد. آسیب‌پذیری جدید اجرای کد از راه دور در زبان برنامه نویسی PHP سبب شده که از این نقص امنیتی اخیرا برای تحت کنترل درآوردن سرورها سوءاستفاده شود. زبان PHP رایج‌ترین زبان برنامه‌نویسی است که برای ساخت وب‌سایت‌ها استفاده می‌شود. در این نرم افزار، آسیب‌پذیری با شماره CVE-۲۰۱۹-۱۱۰۴۳ ردیابی می‌شود و به مهاجمان اجازه می‌دهد تا با دسترسی به یک URL ساخته شده، دستوراتی را روی سرورها اجرا کنند. بهره‌برداری از این آسیب‌پذیری به سادگی انجام می‌شود و کد اثبات مفهومی (PoC) آن به‌صورت عمومی در گیت‌هاب منتشر شده و در دسترس کاربران است. طبق گفته کارشناسان امنیتی، اسکریپت PoC موجود در گیت‌هاب می‌تواند از طریق وب سرور مورد نظر وجود آسیب‌پذیری را بررسی کند و هنگامی که یک هدف آسیب‌پذیر شناسایی شود، مهاجم می‌تواند به سرور وب آسیب‌پذیر، درخواست دستکاری شده ارسال کند. در این آسیب‌پذیری که وصله مربوط به آن نیز منتشر شده است، همه سرورهای مبتنی بر PHP تحت‌تاثیر قرار نمی‌گیرند و تنها سرورهای NGINX که ویژگی PHP-FPM آنها فعال باشد آسیب‌پذیر هستند.