ISAC Cambodia (InfoSec)
GeneralSecurity NewsVulnerability

ចំនុចខ្សោយដែលអាចឲ្យមានការគ្រប់គ្រង Web Application បានទាំងមូល “PHPMailer”

ចំនុចខ្សោយដ៏គ្រោះថ្នាក់មួយត្រូវបានគេរកឃើញនៅក្នុង PHPMailer ដែលគឺជាបណ្ណាល័យប្រភពកូដចំហរ (open source PHPP libraries) មួយដែលពេញនិយមប្រើប្រាស់ក្នុងការផ្ញើរអ៊ីម៉ែល ហើយដែលត្រូវបានប៉ាន់ស្មានថាមានចំនួនច្រើនជាង ៩លានវេបសាយ។

វេបសាយរាប់លានដែលប្រើប្រាស់ ⁣PHP រួមផ្សំជាមួយនឹង open source web application រួមមានទាំង WordPress, Drupal, 1CRM, SugarCRM, Yii និង Joomla ដែលមានភ្ជាប់មកជាមួយនឹង PHPMailer library សម្រាប់ធ្វើការផ្ញើរអ៊ីម៉ែលដោយប្រើប្រាស់វិធីសាស្ត្រផ្សេងៗគ្នាជាច្រើន ដោយរួមមានទាំង SMTP ផងដែរ។

ចំនុចខ្សោយនេះត្រូវបានរកឃើញដោយលោក ⁣Dawid Golunski មកពីវេបសាយ Legal Hackers ដែលជាចំនុចខ្សោយដ៏គ្រោះថ្នាក់មួយ (CVE-2016-10033) ដែលអនុញ្ញាតឲ្យអ្នកវាយប្រហារធ្វើការដំណើរការកូដពីចម្ងាយ (remote code execution) ដើម្បីធ្វើការគ្រប់គ្រងទៅលើ web application ទាំងមូល ។

បើតាមការណែនាំរបស់លោក Golunski បានឲ្យដឹងថា “ដើម្បីវាយលុកទៅលើចំនុចខ្សោយនោះ អ្នកវាយប្រហារអាចធ្វើការវាយលើមុខងារដែលមានក្នុងវេបសាយដូចជា contact/feedback forms, registration forms, password email resets និងមុខងារផ្ញើរអ៊ីម៉ែលដទៃទៀតដែលប្រើប្រាស់ PHPMailer class ” ។ គ្រប់កំណែទាំងអស់របស់ PHPMailer មុនកំណែចុងក្រោយលេខ 5.2.18 គឺទទួលរងផលប៉ៈពាល់ទាំងអស់ ហេតុដូច្នេះហើយអភិបាលគ្រប់គ្រងវេបសាយ និងអ្នកអភិវឌ្ឍន៍វេបសាយត្រូវតែធ្វើការអាប់ដេតជាបន្ទាន់។

លោក Golunski ក៏បានសន្យាថានឹងបញ្ចេញនូវបច្ចេកទេសលំអិតអំពីបញ្ហានេះ នៅប៉ុន្មានថ្ងៃខាងមុខ ដោយរួមមានទាំង POC (Proof-of-concept) នៃការវាយប្រហារ និងវីដេអូបង្ហាញពីជំហាន នៃការវាយប្រហារផងដែរ ៕

ប្រភព៖ Legal Hackers

Show More

Phannarith

Mr. OU Phannarith is one of the well-known cybersecurity experts in Cambodia and the region. He is the founder of the first leading information security website (www.secudemy.com) in Cambodia. He has been invited to present in global conferences, forums, and seminars and he was awarded in Information Security Leadership Achievements (ISLA) in 2016 by (ISC)2 and in December 2012 as one of the top 10 Chief Information Security Officers (CISO) in ASEAN by the International Data Group (IDG). Mr. OU has been the Professor specializing in Cybersecurity.

Related Articles

Back to top button