แจ้งเตือนช่องโหว่ Deserialization ใน Zend Framework ทำ Remote Code Execution ได้

นักวิจัยด้านความปลอดภัย Ling Yizhou ได้เปิดเผยช่องโหว่ใน Zend Framework 3.0.0 โดยช่องโหว่ดังกล่าวจะทำให้ผู้ประสงค์ร้ายสามารถทำการโจมตีแบบ Remote Code Execution (RCE) ได้จากปัญหาของการ Deserialization ช่องโหว่นี้ถูกติดตามด้วยรหัส CVE-2021-3007

ช่องโหว่ CVE-2021-3007 มีที่มาจากกระบวนการ Deserialization ที่อาจนำไปสู่การเรียกใช้โค้ดจากระยะไกลหากผู้โจมตีสามารถเข้าถึงและควบคุม Content ที่เกี่ยวข้องกับเมธอด__destruct ของคลาส Zend\Http\Response\StreamในStream.php ใน Zend Framework 3.0.0 นอกจากนี้ช่องโหว่ดังกล่าวยังสามารถทำให้ผู้โจมตีสามารถทำให้เกิดการขัดข้องของแอปพลิเคชัน (Denial of Service - DoS) และยังสามารถเรียกใช้คำสั่งได้โดยไม่ได้รับอนุญาตในบริบทของแอปพลิเคชันได้

ทั้งนี้ในเดือนมกราคม 2020 ที่ผ่านมา Zend Framework ได้ถูกย้ายไปยัง Codebase ของ Laminas Project พร้อมกับโค้ดจำนวนมากซึ่งส่งผลให้ Zend Framework ไม่ได้รับการสนับสนุนโดยผู้ดูแลเดิมต่อ นักพัฒนาควรทำการตรวจสอบแอปพลิเคชันทั้งหมดที่สร้างด้วย Zend Framework เพื่อป้องกันการตกเป็นเป้าหมายของผู้ประสงค์ร้ายและติดตามแพตช์ของเฟรมเวิร์คเพื่อลดความเสี่ยงจากการถูกโจมตี

ที่มา: bleepingcomputer