شناسایی نقص امنیتی در نسخه های جدید زبان برنامه نویسی PHP - تور آسیایی ارزان

زبان PHP رایج ترین زبان برنامه نویسی است که برای ساخت وب سایت ها استفاده می گردد. در این نرم افزار، آسیب پذیری با شماره CVE-2019-11043 ردیابی می گردد و به مهاجمان اجازه می دهد تا با دسترسی به یک URL ساخته شده، دستوراتی را روی سرورها اجرا نمایند.

بهره برداری از این آسیب پذیری به سادگی انجام می گردد و کد اثبات مفهومی (PoC) آن به صورت عمومی در گیت هاب منتشر شده و در دسترس کاربران است.

طبق گفته کارشناسان امنیتی، اسکریپت PoC موجود در گیت هاب می تواند به وسیله وب سرور مورد نظر وجود آسیب پذیری را آنالیز کند و هنگامی که یک هدف آسیب پذیر شناسایی گردد، مهاجم می تواند به سرور وب آسیب پذیر، درخواست دستکاری شده ارسال کند.

در این آسیب پذیری که وصله مربوط به آن نیز منتشر شده است، همه سرورهای مبتنی بر PHP تحت تأثیر قرار نمی گیرند و تنها سرورهای NGINX که ویژگی PHP-FPM آن ها فعال باشد آسیب پذیر هستند؛ بعضی از ارائه دهندگان میزبانی وب این مولفه را به عنوان بخشی از محیط میزبانی PHP اضافه می نمایند.

مرکز افتا تاکید نمود که با توجه به در دسترس بودن کد PoC و سادگی بهره برداری از این نقص، به صاحبان وب سایت ها توصیه می گردد تنظیمات وب سرور را آنالیز و نسخه PHP را در اسرع وقت به روز نمایند.