Lại là tấn công SQL Injection qua lỗ hổng nghiêm trọng trong PHP

[WhiteHat Team]

Một lỗ hổng nghiêm trọng đã được phát hiện trong PHP với điểm CVSS 9,1 có thể khiến các trang web và ứng dụng dễ bị tấn công SQL Injection. Người dùng được khuyến cáo cập nhật ngay lên phiên bản PHP mới nhất để giảm thiểu rủi ro.

​

Lỗ hổng có mã định danh CVE-2022-31631, điểm CVSS 9,1 ảnh hưởng đến các phiên bản PHP gồm:

• 8.0.x trước 8.0.27
• 8.1.x trước 8.1.15
• 8.2.x trước 8.2.2

Lỗi nằm trong hàm PDO::quote() khi sử dụng với cơ sở dữ liệu SQLite. Hàm này được dùng để làm sạch dữ liệu đầu vào trước khi thực thi truy vấn SQL, giúp ngăn chặn SQL Injection. Tuy nhiên, do lỗi tràn số nguyên (integer overflow), khi một chuỗi quá dài được truyền vào PDO::quote(), hàm có thể không trích dẫn đúng dữ liệu đầu vào, dẫn đến truy vấn SQL bị lỗi và tạo cơ hội cho kẻ tấn công chèn mã độc.

Cụ thể vấn đề nằm ở cách PHP xử lý độ dài chuỗi. SQLite sử dụng số nguyên 32-bit cho tham số độ dài, trong khi PHP sử dụng zend_long (64-bit trên hệ thống hiện đại). Sự không khớp này có thể dẫn đến tràn số nguyên, khiến chuỗi đầu vào không được trích dẫn chính xác.

Trong một số trường hợp, lỗi này có thể khiến hàm PDO::quote() chỉ trả về một dấu nháy đơn ('), vô hiệu hóa hoàn toàn quá trình làm sạch dữ liệu và mở cửa cho SQL Injection.

64-bit hệ điều hành đặc biệt dễ bị tấn công hơn so với hệ thống 32-bit. Hậu quả bao gồm đánh cắp dữ liệu, chỉnh sửa nội dung cơ sở dữ liệu hoặc chiếm quyền kiểm soát máy chủ.

Tấn công SQL Injection đang gia tăng nên lỗ hổng CVE-2022-31631 là một lời nhắc nhở quan trọng cho quản trị viên về việc luôn cập nhật phần mềm và thực hành bảo mật dữ liệu nghiêm ngặt trong các ứng dụng web.

• Cập nhật PHP ngay lập tức lên các phiên bản 8.0.27, 8.1.15 hoặc 8.2.2 (hoặc mới hơn).
• Kiểm tra lại mã nguồn để đảm bảo dữ liệu đầu vào được xử lý đúng cách, ngay cả sau khi cập nhật.
• Không phụ thuộc vào các giới hạn bộ nhớ hoặc post_max_size để ngăn chặn tấn công, vì đây không phải là giải pháp bảo mật đáng tin cậy.

Theo Security Online​