توسعهدهندگان زبان برنامهنویسی پیاِچپی بهتازگی آخرین نسخهی پیاِچپی را منتشر کردهاند تا چند آسیبپذیری با شدت بالا در هسته و کتابخانههای اصلی آن را وصله کنند. از بین آنها شدیدترین آسیبپذیری به مهاجمان راه دور اجازه میدهد تا کد دلخواه را اجرا کنند و سرورهای هدف را در معرض خطر قرار دهند.
پیشپردازندهی Hypertext، که معمولاً با نام پیاِچپی شناخته میشود، محبوبترین زبان برنامهنویسی وب سمت سرور است که بیش از ۷۸ درصد از اینترنت را در اختیار دارد. آخرین نسخههای موجود ازجمله پیاِچپی نسخهی ۷٫۳٫۹، ۷٫۲٫۲۲ و ۷٫۱٫۳۲ چند آسیبپذیری امنیتی را رفع میکند.
بسته به نوع، رخداد و استفاده از پایگاه کد آسیبدیده در یک برنامهی پیاِچپی، بهرهبرداری موفقیتآمیز از برخی آسیبپذیریهای بسیار شدید به یک مهاجم اجازه میدهد تا کد دلخواه را در برنامهی آسیبدیده با امتیازات مربوطه اجرا کند. از طرف دیگر، تلاشهایی که در بهرهبرداری ناکام میماند، منجر به ایجاد شرایط منع سرویس در سیستمهای آسیبدیده خواهد شد.
این آسیبپذیریها میتوانند صدها هزار برنامهی وب را که وابسته به پیاِچپی هستند، در معرض حملات اجرای کد قرار دهند که شامل وبگاههایی هستند که توسط برخی سیستمهای مدیریت محتوای محبوب مانند وردپرس و دروپال و Typo3 ایجاد شدهاند. از بین آنها، یک آسیبپذیری اجرای کد استفاده پس از آزادسازی با شناسهی CVE-2019-13224 است که در Oniguruma وجود دارد.
یک مهاجم راه دور میتواند با وارد کردن یک عبارت خاص در یک برنامهی وب آسیبدیده از این آسیبپذیری بهرهبرداری کند و منجر به اجرای کد یا افشای اطلاعات شود.
Red Hat در مشاورهنامهی امنیتی خود در توصیف این آسیبپذیری بیان میکند که مهاجم یک جفت الگوی regex و یک رشته به همراه یک رمزنگاری چند بایتی ارائه میدهد که توسط onig_new_deluxe() مدیریت میشود. سایر آسیبپذیریهای وصلهشده تابع Exif، FastCGI Process Manager و ویژگی Opcache را تحت تأثیر قرار میدهد. خوشبختانه تاکنون هیچ گزارشی دربارهی بهرهبرداری از هیچ یک از این آسیبپذیریهای امنیتی توسط مهاجمان ارائه نشده است. گروه امنیتی پیاِچپی این آسیبپذیریها را در آخرین نسخهها رفع کرده است. بنابراین به کاربران و ارائهدهندگان خدمات میزبانی بهشدت توصیه میشود که سرورهای خود را به پیاِچپی نسخهی ۷٫۳٫۹، ۷٫۲٫۲۲ بهروزرسانی کنند.