Только что отправив нашу будущую книгу « Никакой ерунды для веб-разработки на XML» с использованием PHP для печати, я вздохнул с облегчением, поскольку широко распространенная уязвимость была обнаружена в библиотеке, которую мы почти использовали в книге, но не сделали.
PHP имеет стандартную библиотеку для создания и использования веб-служб с использованием протокола связи XML-RPC . Эта библиотека используется в примерах из книги и не подвержена описанной уязвимости.
Поскольку эта стандартная библиотека не включена при установке PHP по умолчанию, многие проекты с открытым исходным кодом, для которых требуется функциональность XML-RPC, решили использовать альтернативную библиотеку, полностью написанную на PHP, которая будет работать в большинстве конфигураций PHP. К таким альтернативам относятся модуль PEAR XML-RPC и проект XML-RPC для PHP . Обе эти библиотеки подвержены уязвимости.
Обновленные версии этих библиотек теперь доступны для загрузки, и затронутые проекты с открытым исходным кодом быстро выпускают рекомендации и обновленные версии для решения проблемы.