> گروه اخبار > لحظه نگر مالی و بازارهای سرمایه گذاری > دیجیتال و فناوری > مشروح خبر جهت ارسال به چند نفر، نام و ایمیل گیرندگان با کاما { ، } جدا شوند. نام فرستنده: * ایمیل فرستنده: نام گیرنده(گان): * ایمیل گیرنده(گان): * متن پیام: * کد امنیتی: تاریخ: 1397/06/01 آسیب پذیری جدید PHP ، خطری برای Wordpress محقق امنیت سایبری مرکز Secarma ، به تازگی یک #آسیب_پذیری بر روی زبان PHP منتشر کرده که بخش Installations سیستم مدیریت محتوا Wordpress را آسیب پذیر خواهد کرد. بر اساس گزارش منتشره، این آسیب پذی که از نوع Code Execution بوده در تاریخ 28 فوریه 2017 به تیم امنیتی وردپرس گزارش شده، اما تا به امروز این آسیب پذیری رفع نشده است. گردش چند دقیقه ای: مسیر خدمات مالی و حسابداری را مجازی طی کنید این آسیب پذیری تنها سیستم مدیریت محتوا Wordpress را هدف نمی گیرد، چراکه آسیب پذیری در زبان برنامه نویسی PHP بوده و تمامی Application های PHP-based را تحت تأثیر خود قرار خواهد داد. این آسیب پذیری در ساختار Deserialization زبان برنامه نویسی PHP وجود دارد که همان عملکرد بازگرداندن String ها به PHP Object ها می باشد. از سال 2009 که اولین بار محقق امنیت سایبری آلمانی به نام Stefan Esser حمله موفقیت آمیز به ساختار Deserialization را منتشر کرد، بارها آسیب پذیری های مشابه و Exploit های آنها توسط روش های مختلف منتشر شده است که باعث حملات مختلف بر علیه سرورها و PHP Application ها شده است. آسیب پذیری جدید منتشر شده باعث می شود که نفوذگر بتواند داده های مد نظر خود را بر روی سرور قربانی Upload کند. این خود باعث می شود که راهی برای فراخوانی phar:// را برای نفوذگر فراهم کند در نهایت امکان اجرای کدهای آلوده بر روی سرور قابل انجام خواهد بود. این آسیب پذیری بر روی پروسه عملکرد توابع thumbnail در سیستم مدیریت محتوا Wordpress اثر می گذارد و در صورت Upload فایلهای عکس آلوده بر روی سرور مد نظر، امکان Exploit کردن این آسیب پذیری برای نفوذگر فراهم می گردد. در تحقیقات اولیه علاوه بر Wordpress، سیستم مدیریت محتوا Typo3 و Contao هم دارای این آسیب پذیری هستند. شایان ذکر است که برای انجام این حمله به وردپرس، دو فایل متفاوت Payload ؛ یکی برای نسخه 4.9 و دیگری برای نسخه های پایین تر باید آماده گردد. بر خلاف وردپرس که تا این لحظه (آماده سازی این مطلب) به روز رسانی برای رفع آسیب پذری فوق ارائه نکرده است، تیم پشتیبانی Typo3 در آخرین به روز رسانی خود این آسیب پذیری را رفع نموده است. این آسیب پذیری در هفته گذشته در دو کنفرانس BlackHat و BSides معرفی شده است. همچنین بر روی کتابخانه TCPDF هم وجود دارد که برای کار کردن با فایلهای PDF در زبان PHP می باشد. برای جلوگیری از حمله بر علیه این CMS ها و کتابخانه های مشابه، به روز رسانی هایی که در چند روز آینده ارائه خواهند شد را حتما بر روی سامانه های خود اعمال نمائید. منبع خبر: certcc ثبت نام و عضویت میز کار لینک های مفید خدمات حَسمان ارتقاء سواد مالی در حَسمان خدمات ویژه حسابداران ارتقاء حرفه ای در حَسمان خدمات ویژه مدیران طرح پویش سواد اندوزی مالی دوره های آموزشی lms عضویت ویژه حسمان مشارکت و دعوت از دوستان همیار با تو همیار دانش آموز طرح پویش سواد اندوزی مالی آموزش سواد مالی مقدماتی نبض بازار دیده بان بازار هوای بازار دوره آموزشی بهینه نگر همیار شغلی حسابدار دیکشنری تخصصی حسابداری ثبت رزومه دوره های آموزشی توسعه نگر طرح توانمند سازی ایستگاه خبر حسابداری مدار خبر کار و دانش ثبت آگهی استخدام دوره های آموزشی مدیران همیار دانش آموز طرح پویش سواد اندوزی دوره های آموزشی همراه با تیم همراه با تیم همراه با تیم دیدگاه کاربران نام: پست الکترونیک: * متن: * کد امنیتی: * اخبار مرتبط۵ میلیارد تومان آموزش آنلاین رایگان به مردم ارائه شدادعای دروغین که باعث افزایش ۱۰ درصدی قیمت تلفن همراه شدچند دلیل برای لزوم تغییر مالکیت گوشیهای دستدومنگرانی جدید امنیت سایبری؛ نظارت جمعی با اینترنت اشیاءنوکیا ۱۰ با دوربین پنجگانه در راه است!