نقص امنیتی در نسخههای جدید زبان برنامهنویسی PHP
مهر :
مرکز مدیریت راهبردی افتای ریاست جمهوری نسبت به شناسایی نقص امنیتی در نسخههای جدید زبان برنامهنویسی PHP هشدار داد. آسیبپذیری جدید اجرای کد از راه دور در زبان برنامه نویسی PHP سبب شده که از این نقص امنیتی اخیرا برای تحت کنترل درآوردن سرورها سوءاستفاده شود. زبان PHP رایجترین زبان برنامهنویسی است که برای ساخت وبسایتها استفاده میشود. در این نرم افزار، آسیبپذیری با شماره CVE-۲۰۱۹-۱۱۰۴۳ ردیابی میشود و به مهاجمان اجازه میدهد تا با دسترسی به یک URL ساخته شده، دستوراتی را روی سرورها اجرا کنند. بهرهبرداری از این آسیبپذیری به سادگی انجام میشود و کد اثبات مفهومی (PoC) آن بهصورت عمومی در گیتهاب منتشر شده و در دسترس کاربران است. طبق گفته کارشناسان امنیتی، اسکریپت PoC موجود در گیتهاب میتواند از طریق وب سرور مورد نظر وجود آسیبپذیری را بررسی کند و هنگامی که یک هدف آسیبپذیر شناسایی شود، مهاجم میتواند به سرور وب آسیبپذیر، درخواست دستکاری شده ارسال کند. در این آسیبپذیری که وصله مربوط به آن نیز منتشر شده است، همه سرورهای مبتنی بر PHP تحتتاثیر قرار نمیگیرند و تنها سرورهای NGINX که ویژگی PHP-FPM آنها فعال باشد آسیبپذیر هستند.
ارسال نظر