研究人員再揭PHP反序列化安全漏洞，恐使WordPress曝露遠端程式攻擊風險

來自英國資安公司Secarma的研究總監Sam Thomas本月相繼於黑帽（Black Hat）及BSides兩大安全會議上展示了PHP程式語言的反序化（Deserialization）安全漏洞，指出該漏洞影響所有接納使用者資料的PHP應用程式與函式庫，包括WordPress等內容管理系統（CMS）在內，成功的開採將允許遠端程式攻擊。

序列化（Serialization）與反序列化（Deserialization）是所有程式語言都具備的功能，序列化是將物件轉成字串，以將資料遷移至不同的伺服器、服務或應用上，再透過反序列化將字串還原成物件。

資安研究人員Stefan Essar在2009年時就曾揭露於PHP中反序列化駭客所控制資料的風險，而相關漏洞不僅存在於PHP，也存在於其它的程式語言，Thomas公布的是針對PHP的新攻擊技術，可在各種場景中使用，諸如搭配XML External Entity（XEE）漏洞或伺服器端偽造請求（SSFR）漏洞等。

Thomas表示，過去外界認為XXE漏洞帶來的最大問題就是資訊外洩，但現在卻可能引發程式執行。相關的攻擊分為兩階段，先是把一個含有惡意物件的Phar存檔上傳到攻擊目標的本地端文件系統上，繼之觸發一個基於phar://並指涉該物件的文件操作，就能造成惡意程式執行。

Thomas已利用PHP的反序列化程序成功攻陷了WordPress與Typo3內容管理平台，以及Contao所採用的TCPDF函式庫。