ช่องโหว่บน PHP Composer ที่ช่วยให้แฮกเกอร์สามารถยิงโคดใส่ระบบโดยไม่ได้รับอนุญาตได้
พบช่องโหว่บน PHP Composer ที่ช่วยให้แฮกเกอร์สามารถยิงโคดใส่ระบบโดยไม่ได้รับอนุญาตได้
ภาษา PHP อาจเป็นภาษาที่คุ้นเคยกันดีในกลุ่มผู้สร้าง และพัฒนาเว็บไซต์ และเนื่องด้วยตัวภาษานั้นมีความเกี่ยวข้องกับเว็บไซต์และระบบเครือข่าย (Network) อย่างยิ่งยวดนั้น ทำให้เมื่อมีการตรวจพบช่องโหว่ความปลอดภัยอยู่ภายในส่วนหนึ่งส่วนใดที่เกี่ยวข้อง ย่อมกลายเป็นเรื่องใหญ่ไปด้วย
จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตรวจพบช่องโหว่ความปลอดภัยภายใน PHP Composer ซึ่งเป็นเครื่องมือจัดการแพ็คเกจ (Package Manager) ซึ่งช่องโหว่ดังกล่าวนั้นจะส่งผลให้แฮกเกอร์สามารถทำการรันโค้ดโดยไม่ได้รับอนุญาต (Arbitrary Code Execution) ได้ โดยช่องโหว่ความปลอดภัยนั้นจะมีอยู่ 2 ตัว ดังนี้
CVE-2026-40176 (ได้รับคะแนน CVSS Score: 7.8) เป็นช่องโหว่ที่เกิดจากความไม่เรียบร้อยในส่วนของการยืนยันความถูกต้องของการป้อนค่า (Improper Input Validation) ทำให้แฮกเกอร์สามารถเข้าควบคุมการตั้งค่าของคลังข้อมูล (Repository Configuration) ในไฟล์ .json สำหรับใช้งานกับ Composer ที่แฮกเกอร์สร้างมาเพื่อการนี้โดยเฉพาะได้ ซึ่งจะนำไปสู่การใช้งาน Perforce VCS Repository ในการยิงคำสั่ง (Command Injection) ตามใจชอบได้
CVE-2026-40261 (ได้รับคะแนน CVSS score: 8.8) เป็นอีกหนึ่งช่องโหว่ที่เกิดจากความไม่เรียบร้อยในส่วนของการยืนยันความถูกต้องของการป้อนค่า (Improper Input Validation) โดยสำหรับช่องโหว่นี้จะเป็นปัญหาที่เกิดจาก “Inadequate Escaping” ที่ช่วยให้แฮกเกอร์สามารถทำการยิงคำสั่งผ่านทางแหล่งข้อมูล (Source) ที่มี Shell Metacharacters บรรจุอยู่ ซึ่งถูกสร้างขึ้นมาเพื่อการนี้โดยเฉพาะได้
ซึ่งช่องโหว่ทั้ง 2 นั้นจะช่วยให้แฮกเกอร์สามารถยิงคำสั่งใส่เหยื่อได้ ถึงแม้จะไม่มีการติดตั้ง Perforce VCS ไว้ก็ตาม โดยช่องโหว่ทั้ง 2 นั้นจะอยู่บน PHP Composer รุ่นต่อไปนี้
รุ่น 2.3 หรือต่ำกว่า, รุ่นที่ต่ำกว่า 2.9.6 (ถูกแก้ไขในรุ่น 2.9.6 เป็นที่เรียบร้อยแล้ว)
รุ่น 2.0 หรือต่ำกว่า, รุ่นที่ต่ำกว่า 2.2.27 (ถูกแก้ไขในรุ่น 2.2.27 เป็นที่เรียบร้อยแล้ว)
โดยทางแหล่งข่าวได้แนะนำให้ผู้ที่ใช้งาน PHP Composer ทำการอัปเกรดเป็นรุ่นที่ถูกอุดช่องโหว่เป็นที่เรียบร้อยแล้วทันที ซึ่งทางแหล่งข่าวได้ทำการตรวจสอบแล้ว พบว่าช่องโหว่ดังกล่าวยังไม่มีการถูกใช้งาน (Exploited) โดยกลุ่มแฮกเกอร์กลุ่มใด ๆ ในขณะนี้ ดังนั้นจึงขอให้ผู้ใช้งานทำการเร่งอัปเดตโดยด่วน แต่ถ้ายังไม่สามารถอัปเกรดได้ด้วยประการใด ๆ ทางแหล่งข่าวได้แนะนำให้ปฏิบัติตามข้อแนะนำดังต่อไปนี้ เพื่อหลีกเลี่ยงการโจมตีที่อาจเกิดขึ้น
ตรวจสอบไฟล์ .json และตรวจสอบค่าที่เกี่ยวข้องกับ Perforce ทุกครั้งก่อนรันไฟล์ดังกล่าว
ดาวน์โหลดและใช้งาน Repository ของ PHP Composer จากแหล่งที่น่าเชื่อถือทุกครั้ง
หลีกเลี่ยงการใช้งานการตั้งค่า (Configuration Settings) "--prefer-dist" หรือ "preferred-install: dist" ในการติดตั้งส่วนเสริม (Dependency) ของตัว PHP Composer
เขียนโดย Annonymus TN
จังหวัดนี้มีรถไฟผ่าน แต่กลับไม่ค่อยมีคนรู้จัก
AI วิเคราะห์เลขท้าย 3 ตัวรางวัลที่ 1 งวดวันที่ 1 มิถุนายน 2569
5 โรงเรียนหญิงล้วนที่มีชื่อเสียงมากที่สุดในไทย สถาบันสร้างกุลสตรีและผู้นำระดับประเทศ
เสาธงชาติไทยและผืนธงชาติไทยที่ใหญ่และสูงที่สุดในประเทศไทย
คอนโดหมูหรือฟาร์มเลี้ยงหมูที่สูงที่สุดในโลก
อาชีพไหนในไทยที่ผ่อนบ้านและรถมากที่สุด
แนวทางเลขเด่นชุดพิเศษ "หนุ่มชลบุรี" ประจำวันที่ 1 มิถุนายน 2569
“จังหวัดนี้กำลังจะกลายเป็นมหานครแห่งใหม่ของอีสาน”
แนวทาง... "ม้าวิ่ง" ...วันที่ 1 มิถุนายน 2569
3 อันดับคณะวิศวกรรมศาสตร์ที่มีนิสิตนักศึกษามากที่สุดในไทย อัปเดตล่าสุด
แนวทางเลขเด็ด "สลาก 5 ภาค" งวด 1 มิ.ย.69..สรุปทั้งเลขเด่น-เลขดัง เพียบ!
รายได้ข้าราชการทหารของไทย
อย่าเพิ่งทิ้ง! "ใบกะหล่ำปลีชั้นนอก" ส่วนที่รสชาติแย่ที่สุดแต่กลับมีคุณค่าสูงที่สุดต่อร่างกาย
เนื้อสัตว์ประเภทนี้ไม่ควรนำไปปรุงในหม้อทอดไร้น้ำมันอย่างเด็ดขาด
มหาวิทยาลัยที่มีรถไฟผ่านใกล้ที่สุด
5 ภัยเงียบจากการนอนดึก ที่ร่างกายอาจสะสมโดยไม่รู้ตัว
อาหารลูกที่ไม่น่าเบื่อ สำหรับเด็ก 6 เดือน+ วิธีรับมือในช่วงที่ลูกไม่ยอมกินข้าวหรือกินยาก
"ทับทิม" พันธนาการรักเจ้าแห่งยมโลก
ข่าววันนี้
ช่องทางธรรมชาติ...ฟุตบอลโลกคืออะไร??
ญี่ปุ่นเดินหน้าแผนลด VAT อาหารเหลือ 0% ชั่วคราว 2 ปี หวังช่วยค่าครองชีพประชาชนตะพานหินแทบแตก! 'ลูกปัดไก่ทอด' ตำนาน 30 ปี ย้ายพิกัดใหม่ ลูกค้าแห่ต่อคิวทะลักสายฝน
Google อัปเดต Gemini ครั้งใหญ่ เห็นชัดแล้วว่าศึก AI ตอนนี้เดือดกว่า Search อีก