اكتشاف ثغرة خطرة في لغة PHP تؤثر على معظم المواقع

اكتشاف ثغرة خطرة في لغة PHP تؤثر على معظم المواقع
بواسطة: سعيد جبر التاريخ: 2022-11-30 عدد المشاهدات: 154


اكتشاف ثغرة خطرة في لغة PHP تؤثر على معظم المواقع

 

تعتمد معظم مواقع الإنترنت على لغة برمجية شهيرة (بي إتش بي) PHP، إذ إنها تشكل الأساس لأنظمة إدارة المحتوى الشائعة، مثل: (ووردبرس) WordPress، و(دروبال) Drupal، بالإضافة إلى التطبيقات الويب الأكثر تطورًا، مثل فيسبوك، لذا فمن الخطورة بمكان أن توجد فيها ثغرة، وبالفعل، كشف باحث أمني مقيم في روسيا اسمه Emil ‘Neex’ Lerner قبل يومين عن ثغرة أمنية تتيح للمهاجمين تنفيذ هجمات عن بُعد في (بي إتش بي 7) PHP 7، وهو الإصدار الأحدث من أشهر لغات برمجية الويب.

أوضح الباحث أن الثغرة تنفيذ هجمات عن بُعد بمجرد الوصول إلى رابط URL مصطنع. وكل ما يحتاجه المهاجم لتنفيذ هجومه “?a=” إلى عناوين الويب، ثم الحمولة الخاصة بهم. ويُعتقد أن مثل هذا الهجوم يقلل بدرجة كبيرة من العائق أمام الدخول لاختراق موقع ويب، ويبسطه إلى الحد الذي يمكن أن يسيء استخدامه حتى من الأشخاص الذين لا يملكون المهارة التقنية، ولحسن الحظ، فإن الثغرة الأمنية لا تؤثر إلا على الخوادم التي تستخدم خادم الويب NGINX مع امتداد PHP-FPM. وتعد PHP-FPM نسخة مخصصة من FastCGI، مع بعض الميزات الإضافية المصممة للمواقع ذات حركة المرور العالية.

وبعد الإبلاغ عن الثغرة، أصدر الفريق المسؤول عن تطوير لغة (بي إتش بي) نصيحة أمنية لمن يستخدم الإصدار الذي يعاني من الثغرة تحثهم على تحديث (بي إتش بي) إلى الإصدار الأحدث، وأكدت شركة (باد باكتس) BadPackets الأمنية لموقع ZDNet على وجود دلائل تثبت أن هناك مهاجمين يستغلون الثغرة الأمنية الخطرة في (بي إتش بي 7).

سعيد جبر أخصائي أمن المعلومات

بخبرة تصل لأكثر من 20 عاماُ جعلته يتربع على عرش المجالات المُتعلقة بأمن تكنولوجيا المعلومات وإدارة المخاطر، حيث يُعد أكثر المجالات أهمية وهيمنة على المستوى الرقمي والواقعي

المواضيع المتشابهة


اهم الارشادات التي تبين إن الهاتف قد تعرض للاختراق

هناك بعض الأجهزة من الممكن اختراقها مثل الايفون وأجهزة الاندرويد من خلال بعض ثغرات خاصة بالأجهزة او اذا كانت هذه الأجهزة غير اصلية ويأتي فيها يلي

29Nov 2022

المزيد

اختراق نظام EncroChat المشفر للدردشة

استطاعت الشرطة الأوروبية اختراق (EncroChat) المشفر للدردشة، أفادت هيئة الإذاعة البريطانية (BBC) أن الوكالة الوطنية لمكافحة الجرائم في المملكة المتحدة (NCA) فككت عشرات الجماعات الإجرامية المنظمة بعد اعتراض الملايين من رسائل نصية مشفرة

29Nov 2022

المزيد

تويتر تُلغي خيارًا كان يمنعها من مشاركة بيانات مستخدمين مع معلنين

أزالت شركة تويتر ميزة خصوصية تسمح لجميع المستخدمين بالتوقف عن مشاركة بعض المعلومات الخاصة مع المعلنين،وكانت الميزة تمنع تويتر من مشاركة معلومات

29Nov 2022

المزيد

تطبيق لوحة مفاتيح أندرويد يخدع 40 مليون

باحثون من أن تطبيق Ai.type يزال موجودًا على ملايين أجهزة أندرويد وما يزال متاحًا من متاجر أندرويد الأخرى، وأوضحوا ضرورة حذف تطبيق لوحة مفاتيح أندرويد الشهير

29Nov 2022

المزيد

مايكروسوفت تحاول حماية صفقة Activision Blizzard

أعلنت شركة مايكروسوفت عن التزامات بشأن تشغيل واجهات محلات رقمية بطريقة قد تساعدها في الظهور بشكل أكثر ودية للمطورين الخارجيين وحماية صفقة Activision Blizzard بالغة قيمتها 69 مليار دولار

29Nov 2022

المزيد

برمجية طلب الفدية MountLocker أصبحت أقل حجمًا

كشف باحثو شركة بلاك بيري برمجية طلب الفدية MountLocker والتي يروج لها متسللون بصفتها خدمة ضارة قابلة للتأجير وبدأت برمجية طلب الفدية تستهدف شبكات ، وتلقت تحديثًا إلى تقليل حجمها إلى النصف، وسرق مشغلوها البيانات قبل تشفيرها

29Nov 2022

المزيد
Scroll Top

Contact Us

32/7, George Street, England, BA1 2FJ.

Follow Us