یک آسیبپذیری در XAMPP در نسخههای 1.7.3 و قبل از آن وجود دارد که به دلیل پیکربندی پیشفرض WebDAV، مهاجمان راه دور احراز هویتشده میتوانند کد PHP دلخواه را بارگذاری و اجرا کنند.
سرویس WebDAV که از مسیر /webdav/ قابل دسترسی است، درخواستهای HTTP PUT را با استفاده از اطلاعات ورود پیشفرض میپذیرد. این موضوع به مهاجم اجازه میدهد یک فایل مخرب PHP را بارگذاری کرده و سپس با یک درخواست GET آن را اجرا کند، که در نهایت منجر به اجرای کد از راه دور بر روی سرور میشود.
محصولات آسیبپذیر
-
نسخههای 1.7.3 و قبل از آن
توصیههای امنیتی
- به کاربران توصیه میشود در صورت استفاده از این نسخههای نرمافزار، آن را به نسخههای بالاتر بهروزرسانی نمایند.
منبع خبر:
- 31