شناسایی نقص امنیتی در نسخه های جدید زبان برنامه نویسی PHP

به گزارش تور آسیایی ارزان به نقل از معاونت آنالیز مرکز افتا، آسیب پذیری جدید اجرای کد از راه دور در زبان برنامه نویسی PHP سبب شده که از این نقص امنیتی اخیرا برای تحت کنترل درآوردن سرورها سوءاستفاده گردد.

شناسایی نقص امنیتی در نسخه های جدید زبان برنامه نویسی PHP

زبان PHP رایج ترین زبان برنامه نویسی است که برای ساخت وب سایت ها استفاده می گردد. در این نرم افزار، آسیب پذیری با شماره CVE-2019-11043 ردیابی می گردد و به مهاجمان اجازه می دهد تا با دسترسی به یک URL ساخته شده، دستوراتی را روی سرورها اجرا نمایند.

بهره برداری از این آسیب پذیری به سادگی انجام می گردد و کد اثبات مفهومی (PoC) آن به صورت عمومی در گیت هاب منتشر شده و در دسترس کاربران است.

طبق گفته کارشناسان امنیتی، اسکریپت PoC موجود در گیت هاب می تواند به وسیله وب سرور مورد نظر وجود آسیب پذیری را آنالیز کند و هنگامی که یک هدف آسیب پذیر شناسایی گردد، مهاجم می تواند به سرور وب آسیب پذیر، درخواست دستکاری شده ارسال کند.

در این آسیب پذیری که وصله مربوط به آن نیز منتشر شده است، همه سرورهای مبتنی بر PHP تحت تأثیر قرار نمی گیرند و تنها سرورهای NGINX که ویژگی PHP-FPM آن ها فعال باشد آسیب پذیر هستند؛ بعضی از ارائه دهندگان میزبانی وب این مولفه را به عنوان بخشی از محیط میزبانی PHP اضافه می نمایند.

مرکز افتا تاکید نمود که با توجه به در دسترس بودن کد PoC و سادگی بهره برداری از این نقص، به صاحبان وب سایت ها توصیه می گردد تنظیمات وب سرور را آنالیز و نسخه PHP را در اسرع وقت به روز نمایند.

منبع: خبرگزاری مهر
انتشار: 22 آذر 1398 بروزرسانی: 6 مهر 1399 گردآورنده: asiaro.ir شناسه مطلب: 499

به "شناسایی نقص امنیتی در نسخه های جدید زبان برنامه نویسی PHP" امتیاز دهید

امتیاز دهید:

دیدگاه های مرتبط با "شناسایی نقص امنیتی در نسخه های جدید زبان برنامه نویسی PHP"

* نظرتان را در مورد این مقاله با ما درمیان بگذارید