ช่องโหว่บน PHP Composer ที่ช่วยให้แฮกเกอร์สามารถยิงโคดใส่ระบบโดยไม่ได้รับอนุญาตได้
พบช่องโหว่บน PHP Composer ที่ช่วยให้แฮกเกอร์สามารถยิงโคดใส่ระบบโดยไม่ได้รับอนุญาตได้
ภาษา PHP อาจเป็นภาษาที่คุ้นเคยกันดีในกลุ่มผู้สร้าง และพัฒนาเว็บไซต์ และเนื่องด้วยตัวภาษานั้นมีความเกี่ยวข้องกับเว็บไซต์และระบบเครือข่าย (Network) อย่างยิ่งยวดนั้น ทำให้เมื่อมีการตรวจพบช่องโหว่ความปลอดภัยอยู่ภายในส่วนหนึ่งส่วนใดที่เกี่ยวข้อง ย่อมกลายเป็นเรื่องใหญ่ไปด้วย
จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตรวจพบช่องโหว่ความปลอดภัยภายใน PHP Composer ซึ่งเป็นเครื่องมือจัดการแพ็คเกจ (Package Manager) ซึ่งช่องโหว่ดังกล่าวนั้นจะส่งผลให้แฮกเกอร์สามารถทำการรันโค้ดโดยไม่ได้รับอนุญาต (Arbitrary Code Execution) ได้ โดยช่องโหว่ความปลอดภัยนั้นจะมีอยู่ 2 ตัว ดังนี้
CVE-2026-40176 (ได้รับคะแนน CVSS Score: 7.8) เป็นช่องโหว่ที่เกิดจากความไม่เรียบร้อยในส่วนของการยืนยันความถูกต้องของการป้อนค่า (Improper Input Validation) ทำให้แฮกเกอร์สามารถเข้าควบคุมการตั้งค่าของคลังข้อมูล (Repository Configuration) ในไฟล์ .json สำหรับใช้งานกับ Composer ที่แฮกเกอร์สร้างมาเพื่อการนี้โดยเฉพาะได้ ซึ่งจะนำไปสู่การใช้งาน Perforce VCS Repository ในการยิงคำสั่ง (Command Injection) ตามใจชอบได้
CVE-2026-40261 (ได้รับคะแนน CVSS score: 8.8) เป็นอีกหนึ่งช่องโหว่ที่เกิดจากความไม่เรียบร้อยในส่วนของการยืนยันความถูกต้องของการป้อนค่า (Improper Input Validation) โดยสำหรับช่องโหว่นี้จะเป็นปัญหาที่เกิดจาก “Inadequate Escaping” ที่ช่วยให้แฮกเกอร์สามารถทำการยิงคำสั่งผ่านทางแหล่งข้อมูล (Source) ที่มี Shell Metacharacters บรรจุอยู่ ซึ่งถูกสร้างขึ้นมาเพื่อการนี้โดยเฉพาะได้
ซึ่งช่องโหว่ทั้ง 2 นั้นจะช่วยให้แฮกเกอร์สามารถยิงคำสั่งใส่เหยื่อได้ ถึงแม้จะไม่มีการติดตั้ง Perforce VCS ไว้ก็ตาม โดยช่องโหว่ทั้ง 2 นั้นจะอยู่บน PHP Composer รุ่นต่อไปนี้
รุ่น 2.3 หรือต่ำกว่า, รุ่นที่ต่ำกว่า 2.9.6 (ถูกแก้ไขในรุ่น 2.9.6 เป็นที่เรียบร้อยแล้ว)
รุ่น 2.0 หรือต่ำกว่า, รุ่นที่ต่ำกว่า 2.2.27 (ถูกแก้ไขในรุ่น 2.2.27 เป็นที่เรียบร้อยแล้ว)
โดยทางแหล่งข่าวได้แนะนำให้ผู้ที่ใช้งาน PHP Composer ทำการอัปเกรดเป็นรุ่นที่ถูกอุดช่องโหว่เป็นที่เรียบร้อยแล้วทันที ซึ่งทางแหล่งข่าวได้ทำการตรวจสอบแล้ว พบว่าช่องโหว่ดังกล่าวยังไม่มีการถูกใช้งาน (Exploited) โดยกลุ่มแฮกเกอร์กลุ่มใด ๆ ในขณะนี้ ดังนั้นจึงขอให้ผู้ใช้งานทำการเร่งอัปเดตโดยด่วน แต่ถ้ายังไม่สามารถอัปเกรดได้ด้วยประการใด ๆ ทางแหล่งข่าวได้แนะนำให้ปฏิบัติตามข้อแนะนำดังต่อไปนี้ เพื่อหลีกเลี่ยงการโจมตีที่อาจเกิดขึ้น
ตรวจสอบไฟล์ .json และตรวจสอบค่าที่เกี่ยวข้องกับ Perforce ทุกครั้งก่อนรันไฟล์ดังกล่าว
ดาวน์โหลดและใช้งาน Repository ของ PHP Composer จากแหล่งที่น่าเชื่อถือทุกครั้ง
หลีกเลี่ยงการใช้งานการตั้งค่า (Configuration Settings) "--prefer-dist" หรือ "preferred-install: dist" ในการติดตั้งส่วนเสริม (Dependency) ของตัว PHP Composer
เขียนโดย Annonymus TN
AI วิเคราะห์สถิติ 20 ปีหวยงวด 16 ก.ค.69 ให้เลขท้าย 2 ตัวเน้นๆ!
ทำไมบางคนไม่อยากกลับบ้าน ทั้งที่บ้านควรเป็นที่ปลอดภัย
เปิด 3 ประเทศยอดฮิตที่เด็ก สปป.ลาว นิยมไปเรียนต่อต่างประเทศ
7 ไอเทมที่คนรวยจริง "ไม่คิดจะซื้อ" แต่อวดรวยชอบมี
จังหวัดอันดับหนึ่งของไทย ที่โดดเด่นเรื่องนางงามมากที่สุด
เปิดประวัติ “ราชกรีฑาสโมสร” สนามแข่งม้าเก่าแก่ใจกลางกรุงเทพฯ
4 สุสานที่ใหญ่ที่สุดในประเทศไทย
10 จังหวัดที่มีพระภิกษุสงฆ์และสามเณรมากที่สุดในประเทศไทย
ของล้ำค่าที่ไม่มีใครเอากลับมา 5 เรื่องจริงของสิ่งที่ถูกทิ้งไว้เฉย ๆ
เขตของกรุงเทพมหานคร ที่มีสภาพเป็นพื้นที่ชนบทมากที่สุด
5 รถมอเตอร์ไซค์ที่ทำตลาดในไทยได้ ไม่ดี และมียอดขายไม่สูง
10 อำเภอที่มียอดเงินกู้สูงที่สุดในภาคอีสาน (ไม่รวมอำเภอเมือง)
นัดต่อไป ผมคงต้องเดิมพันให้สหรัฐอเมริกาคว้าแชมป์ฟีฟ่าเวิลด์คัพ 2026?
5 ตู้โทรศัพท์สาธารณะโบราณและหายากที่สุดในประเทศไทย



