اكتشاف ثغرة خطرة في لغة PHP تؤثر على معظم المواقع

اكتشاف ثغرة خطرة في لغة PHP تؤثر على معظم المواقع
بواسطة: سعيد جبر التاريخ: 2023-04-01 عدد المشاهدات: 267


اكتشاف ثغرة خطرة في لغة PHP تؤثر على معظم المواقع

 

تعتمد معظم مواقع الإنترنت على لغة برمجية شهيرة (بي إتش بي) PHP، إذ إنها تشكل الأساس لأنظمة إدارة المحتوى الشائعة، مثل: (ووردبرس) WordPress، و(دروبال) Drupal، بالإضافة إلى التطبيقات الويب الأكثر تطورًا، مثل فيسبوك، لذا فمن الخطورة بمكان أن توجد فيها ثغرة، وبالفعل، كشف باحث أمني مقيم في روسيا اسمه Emil ‘Neex’ Lerner قبل يومين عن ثغرة أمنية تتيح للمهاجمين تنفيذ هجمات عن بُعد في (بي إتش بي 7) PHP 7، وهو الإصدار الأحدث من أشهر لغات برمجية الويب.

أوضح الباحث أن الثغرة تنفيذ هجمات عن بُعد بمجرد الوصول إلى رابط URL مصطنع. وكل ما يحتاجه المهاجم لتنفيذ هجومه “?a=” إلى عناوين الويب، ثم الحمولة الخاصة بهم. ويُعتقد أن مثل هذا الهجوم يقلل بدرجة كبيرة من العائق أمام الدخول لاختراق موقع ويب، ويبسطه إلى الحد الذي يمكن أن يسيء استخدامه حتى من الأشخاص الذين لا يملكون المهارة التقنية، ولحسن الحظ، فإن الثغرة الأمنية لا تؤثر إلا على الخوادم التي تستخدم خادم الويب NGINX مع امتداد PHP-FPM. وتعد PHP-FPM نسخة مخصصة من FastCGI، مع بعض الميزات الإضافية المصممة للمواقع ذات حركة المرور العالية.

وبعد الإبلاغ عن الثغرة، أصدر الفريق المسؤول عن تطوير لغة (بي إتش بي) نصيحة أمنية لمن يستخدم الإصدار الذي يعاني من الثغرة تحثهم على تحديث (بي إتش بي) إلى الإصدار الأحدث، وأكدت شركة (باد باكتس) BadPackets الأمنية لموقع ZDNet على وجود دلائل تثبت أن هناك مهاجمين يستغلون الثغرة الأمنية الخطرة في (بي إتش بي 7).

سعيد جبر أخصائي أمن المعلومات

بخبرة تصل لأكثر من 20 عاماُ جعلته يتربع على عرش المجالات المُتعلقة بأمن تكنولوجيا المعلومات وإدارة المخاطر، حيث يُعد أكثر المجالات أهمية وهيمنة على المستوى الرقمي والواقعي

المواضيع المتشابهة


قراصنة روس يستهدفون شركة الأمن CrowdStrike

قراصنة روس وراء هجوم الإلكتروني الأسوأ ضد أمريكا استفادوا من وصول بائعين إلى خدمات مايكروسوفت لاختراق الأهداف التي لا تمتلك منصة Orion مخترقة من شركة SolarWinds كانت التحديثات الخاصة بمنصة Orion نقطة الدخول

31Mar 2023

المزيد

حساب فيسبوك على تويتر يتعرض للاختراق

أكد موقع تويتر أن حسابات تويتر الرسمية لمنصة التواصل الاجتماعي العملاقة فيسبوك ومنصة مسنجر قد تم اختراقها، وقال متحدث باسم تويتر في بيان: إن الحسابات قد تم اختراقها عبر منصة تابعة لجهة خارجية

31Mar 2023

المزيد

جائزة كبيرة لقرصانين يخترقان Amazon Echo

شهدت مسابقة القرصنة السنوية Pwn2Own تتويج باحثين أمنيين كأفضل القراصنة بعد تطوير واختبار العديد من عمليات القرصنة البارزة، بما في ذلك الهجوم على جهاز المساعدة المنزلية من أمازون

31Mar 2023

المزيد

تحذير سعيد جبر أخصائي أمن المعلومات من ثغرة خطيرة من نوعها

تحذيرات من ثغرة برمجية خطيرة في أنظمة ويندوز فان خبراء من شركة امن سيبراني تمكنوا من اكتشاف ثغرة برمجية خطيرة من نوع " drive-by" في أنظمة "ويندوز-10" و "ويندوز-11" ويمكن استغلالها في اختراق تلك الأنظمة والوصول إلى بيانات

31Mar 2023

المزيد

مايكروسوفت تصحح 99 عيبًا أمنيًا في أنظمة ويندوز

أصدرت شركة مايكروسوفت تصحيح أمني متضمن إصلاحات لما مجموعه 99 نقطة ضعف، إلى جانب حصول مستخدمي نظام ويندوز 7 على تحديثات أمنية مجانية للمرة الأولى بعد نهاية الدعم

01Apr 2023

المزيد

واتساب تصلح ثغرة خطرة تسمح باستغلال ملفات MP4 للاختراق

أصلحت خدمة التراسل الفوري واتساب ثغرة أمنية تنطوي على ملفات فيديو بنسق MP4 ضارة، وقد تسمح للمهاجمين بالوصول إلى رسائل، وملفات مخزنة في التطبيق عن بُعد

31Mar 2023

المزيد
Scroll Top

Contact Us

32/7, George Street, England, BA1 2FJ.

Follow Us