អ្នកជំនាញសន្តិសុខបានរាយការណ៍ពីការរកឃើញបញ្ហា២នៅក្នុង PHPMailer ដែលជាបណ្ណាល័យ កូដដ៏ពេញនិយមក្នុងការផ្ញើ emails ដ៏មានសុវត្ថិភាពតាមរយៈកូដ PHP ពី web server។ យោងតាម របាយការណ៍ បញ្ហាទាំងនេះបានបណ្តាលឱ្យមានការវាយប្រហារដោយបញ្ជាកូដពីចម្ងាយ។
កំហុស CVE-2021-34551៖ បញ្ហានេះកើតមានដោយសារតែការបញ្ចូលសុពលភាពមិនត្រឹមត្រូវ ដែលផ្តល់ដោយអ្នកប្រើប្រាស់នៅក្នុង setLanguage() method នៅពេលប៉ារ៉ាម៉ែត $lang_path នៅលើ ប្រព័ន្ធ Windows ដែលកំពុងតែដំណើរការ។ ការបញ្ជាពីចម្ងាយរបស់ហេគឃ័រអាចចូលទៅក្នុងកម្មវិធី បង្កើតផ្លូវ UNC តាមរយៈប៉ារ៉ាម៉ែតដែលត្រូវបានសម្របសម្រួល និងដំណើរការកូដ PHP ដោយបំពាន នៅលើប្រព័ន្ធរងគ្រោះ។
កំហុស CVE-2021-3603៖ បញ្ហានេះកើតមានដោយសារការបញ្ចូលសុពលភាពមិនត្រឹមត្រូវនៅលើ ដំណោះស្រាយដែលរងការវាយប្រហារ។ ប្រសិនបើប៉ារ៉ាម៉ែត $patternselect ធ្វើឱ្យអាសយដ្ឋានមាន សុពលភាពត្រូវបានបង្កើតជា “php” (default setting កំណត់ដោយ PHPMailer::$validator) និង global namespace ដែលមានតួនាទី php function វានឹងបង្កើតឈ្មោះដូចគ្នានៅក្នុង preference ដោយសារ សុពលភាព។
ហេគឃ័រអាចផ្ញើសំណើរពីចម្ងាយ និងប្រតិបត្តិកូដដោយបំពាននៅលើប្រព័ន្ធដែលបានសម្របសម្រួល
ទោះជាយ៉ាងណា អ្នកជំនាញសន្តិសុខមិនបានរាយការណ៍ពីគោលបំណង និងមេរោគនៅក្នុងបញ្ហានេះ ទេ។ ប៉ុន្តែ គាត់បានផ្តល់អនុសាសន៍ដល់អ្នកប្រើប្រាស់ឱ្យធ្វើបច្ចុប្បន្នភាពឥឡូវនេះ។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី១៧ ខែមិថុនា ឆ្នាំ២០២១
ប្រែសម្រួលដោយ៖ កញ្ញា
