พบช่องโหว่ใน PHP Libraries ที่ใช้สำหรับสร้างไฟล์ PDF (CVE-2018-17057)
Sam Thomas นักวิจัยด้านความปลอดภัยจาก Secarma พบช่องโหว่ที่มีความรุนแรงใน PHP Libraries ที่มีชื่อว่า "TCPDF" ซึ่งถูกใช้สำหรับแปลงค่า HTML เป็น PDF ส่งผลให้ผู้ไม่หวังดีสามารถสั่งรันคำสั่งอันตราย (remote code execution) ผ่านหน้าเว็บไซต์ที่ใช้รับข้อมูลจากผู้ใช้งานในการสร้างไฟล์ PDF หรือผ่านการใช้ cross-site scripting (XSS) บนเว็บไซต์ที่มีช่องโหว่เพื่อแทรกโค๊ดที่เป็นอันตราย
ช่องโหว่ดังกล่าวได้ถูกแจ้งไปยังทีมผู้พัฒนา Library ดังกล่าวตั้งแต่เดือนสิงหาคมที่ผ่านมา และล่าสุดได้ปล่อยเวอร์ชั่น TCPDF 6.2.20 และ TCPDF 6.2.22 ออกมาตามลำดับ เพื่อแก้ไขปัญหาดังกล่าว เนื่องจากความรุนแรงของช่องโหว่ที่พบ ทำให้นักวิจัยเพิ่งออกมาเปิดเผยรายละเอียดของช่องโหว่หลังจากได้รับการแก้ไขมาแล้ว 6 เดือน เพื่อให้ผู้ใช้งานมีเวลาในการติดตั้งแพทช์ใหม่ ผู้ใช้งานที่ได้รับผลกระทบควรดำเนินการอัพเดตทันที
ที่มา: www.zdnet.com
You must be logged in to post a comment.