หน้าแรก ตรวจหวย เว็บบอร์ด ควิซ Pic Post แชร์ลิ้ง หาเพื่อน Chat หาเพื่อน Line Page อัลบั้ม คำคม Glitter เกมถอดรหัสภาพ คำนวณ การเงิน ราคาทองคำ กินอะไรดี
ข้อตกลงการใช้บริการนโยบายความเป็นส่วนตัวนโยบายเนื้อหานโยบายการสร้างรายได้About Usติดต่อเว็บไซต์แจ้งเนื้อหาไม่เหมาะสม
News บอร์ดต่างๆค้นหาตั้งกระทู้

ช่องโหว่บน PHP Composer ที่ช่วยให้แฮกเกอร์สามารถยิงโคดใส่ระบบโดยไม่ได้รับอนุญาตได้

เขียนโดย Annonymus TN

พบช่องโหว่บน PHP Composer ที่ช่วยให้แฮกเกอร์สามารถยิงโคดใส่ระบบโดยไม่ได้รับอนุญาตได้

 

ภาษา PHP อาจเป็นภาษาที่คุ้นเคยกันดีในกลุ่มผู้สร้าง และพัฒนาเว็บไซต์ และเนื่องด้วยตัวภาษานั้นมีความเกี่ยวข้องกับเว็บไซต์และระบบเครือข่าย (Network) อย่างยิ่งยวดนั้น ทำให้เมื่อมีการตรวจพบช่องโหว่ความปลอดภัยอยู่ภายในส่วนหนึ่งส่วนใดที่เกี่ยวข้อง ย่อมกลายเป็นเรื่องใหญ่ไปด้วย

 

จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตรวจพบช่องโหว่ความปลอดภัยภายใน PHP Composer ซึ่งเป็นเครื่องมือจัดการแพ็คเกจ (Package Manager) ซึ่งช่องโหว่ดังกล่าวนั้นจะส่งผลให้แฮกเกอร์สามารถทำการรันโค้ดโดยไม่ได้รับอนุญาต (Arbitrary Code Execution) ได้ โดยช่องโหว่ความปลอดภัยนั้นจะมีอยู่ 2 ตัว ดังนี้

 

CVE-2026-40176 (ได้รับคะแนน CVSS Score: 7.8) เป็นช่องโหว่ที่เกิดจากความไม่เรียบร้อยในส่วนของการยืนยันความถูกต้องของการป้อนค่า (Improper Input Validation) ทำให้แฮกเกอร์สามารถเข้าควบคุมการตั้งค่าของคลังข้อมูล (Repository Configuration) ในไฟล์ .json สำหรับใช้งานกับ Composer ที่แฮกเกอร์สร้างมาเพื่อการนี้โดยเฉพาะได้ ซึ่งจะนำไปสู่การใช้งาน Perforce VCS Repository ในการยิงคำสั่ง (Command Injection) ตามใจชอบได้

CVE-2026-40261 (ได้รับคะแนน CVSS score: 8.8) เป็นอีกหนึ่งช่องโหว่ที่เกิดจากความไม่เรียบร้อยในส่วนของการยืนยันความถูกต้องของการป้อนค่า (Improper Input Validation) โดยสำหรับช่องโหว่นี้จะเป็นปัญหาที่เกิดจาก “Inadequate Escaping” ที่ช่วยให้แฮกเกอร์สามารถทำการยิงคำสั่งผ่านทางแหล่งข้อมูล (Source) ที่มี Shell Metacharacters บรรจุอยู่ ซึ่งถูกสร้างขึ้นมาเพื่อการนี้โดยเฉพาะได้

 

ซึ่งช่องโหว่ทั้ง 2 นั้นจะช่วยให้แฮกเกอร์สามารถยิงคำสั่งใส่เหยื่อได้ ถึงแม้จะไม่มีการติดตั้ง Perforce VCS ไว้ก็ตาม โดยช่องโหว่ทั้ง 2 นั้นจะอยู่บน PHP Composer รุ่นต่อไปนี้

 

รุ่น 2.3 หรือต่ำกว่า, รุ่นที่ต่ำกว่า 2.9.6 (ถูกแก้ไขในรุ่น 2.9.6 เป็นที่เรียบร้อยแล้ว)

รุ่น 2.0 หรือต่ำกว่า, รุ่นที่ต่ำกว่า 2.2.27 (ถูกแก้ไขในรุ่น 2.2.27 เป็นที่เรียบร้อยแล้ว)

 

โดยทางแหล่งข่าวได้แนะนำให้ผู้ที่ใช้งาน PHP Composer ทำการอัปเกรดเป็นรุ่นที่ถูกอุดช่องโหว่เป็นที่เรียบร้อยแล้วทันที ซึ่งทางแหล่งข่าวได้ทำการตรวจสอบแล้ว พบว่าช่องโหว่ดังกล่าวยังไม่มีการถูกใช้งาน (Exploited) โดยกลุ่มแฮกเกอร์กลุ่มใด ๆ ในขณะนี้ ดังนั้นจึงขอให้ผู้ใช้งานทำการเร่งอัปเดตโดยด่วน แต่ถ้ายังไม่สามารถอัปเกรดได้ด้วยประการใด ๆ ทางแหล่งข่าวได้แนะนำให้ปฏิบัติตามข้อแนะนำดังต่อไปนี้ เพื่อหลีกเลี่ยงการโจมตีที่อาจเกิดขึ้น

 

ตรวจสอบไฟล์ .json และตรวจสอบค่าที่เกี่ยวข้องกับ Perforce ทุกครั้งก่อนรันไฟล์ดังกล่าว

ดาวน์โหลดและใช้งาน Repository ของ PHP Composer จากแหล่งที่น่าเชื่อถือทุกครั้ง

หลีกเลี่ยงการใช้งานการตั้งค่า (Configuration Settings) "--prefer-dist" หรือ "preferred-install: dist" ในการติดตั้งส่วนเสริม (Dependency) ของตัว PHP Composer

เนื้อหาโดย: Annonymus TN
⚠ แจ้งเนื้อหาไม่เหมาะสม 
Annonymus TN's profile
มีผู้เข้าชมแล้ว 54 ครั้ง
เขียนโดย Annonymus TN
นักข่าวสายอาชญากรรมไซเบอร์และเทคโนโลยี เชี่ยวชาญการรายงานภัยออนไลน์ เช่น มัลแวร์ การหลอกลวง และการใช้ AI ในทางผิด โดยนำเสนอข้อมูลที่ซับซ้อนให้เข้าใจง่าย กระชับ และตรงประเด็น เพื่อให้ผู้อ่านรู้ทันภัยดิจิทัลก่อนตกเป็นเ
เป็นกำลังใจให้เจ้าของกระทู้โดยการ VOTE และ SHARE
Hot Topic ที่น่าสนใจอื่นๆ
AI วิเคราะห์สถิติ 20 ปีหวยงวด 16 ก.ค.69 ให้เลขท้าย 2 ตัวเน้นๆ!ทำไมบางคนไม่อยากกลับบ้าน ทั้งที่บ้านควรเป็นที่ปลอดภัยเปิด 3 ประเทศยอดฮิตที่เด็ก สปป.ลาว นิยมไปเรียนต่อต่างประเทศ7 ไอเทมที่คนรวยจริง "ไม่คิดจะซื้อ" แต่อวดรวยชอบมีจังหวัดอันดับหนึ่งของไทย ที่โดดเด่นเรื่องนางงามมากที่สุดเปิดประวัติ “ราชกรีฑาสโมสร” สนามแข่งม้าเก่าแก่ใจกลางกรุงเทพฯ4 สุสานที่ใหญ่ที่สุดในประเทศไทย10 จังหวัดที่มีพระภิกษุสงฆ์และสามเณรมากที่สุดในประเทศไทยของล้ำค่าที่ไม่มีใครเอากลับมา 5 เรื่องจริงของสิ่งที่ถูกทิ้งไว้เฉย ๆเขตของกรุงเทพมหานคร ที่มีสภาพเป็นพื้นที่ชนบทมากที่สุด5 รถมอเตอร์ไซค์ที่ทำตลาดในไทยได้ ไม่ดี และมียอดขายไม่สูง10 อำเภอที่มียอดเงินกู้สูงที่สุดในภาคอีสาน (ไม่รวมอำเภอเมือง)
Hot Topic ที่มีผู้ตอบล่าสุด
นัดต่อไป ผมคงต้องเดิมพันให้สหรัฐอเมริกาคว้าแชมป์ฟีฟ่าเวิลด์คัพ 2026?5 ตู้โทรศัพท์สาธารณะโบราณและหายากที่สุดในประเทศไทย
กระทู้อื่นๆในบอร์ด ข่าววันนี้
สะเดา รวบ 2ผู้ต้องหาแก๊งลักสายไฟ พร้อมของกลางอื้อชายสิงคโปร์ผวา เห็นเงาคล้ายคนผมยาวหลังต้นไม้กลางดึก5 หนังสยองขวัญนอกกระแส ที่คนรักหนังแนวหลอนควรรู้จัก4 ภาพยนตร์โฆษณาชวนเชื่อของเกาหลีเหนือ ที่สะท้อนวิธีสร้างภาพลักษณ์รัฐ
ตั้งกระทู้ใหม่