Jordy Zomer นักวิจัยความปลอดภัย รายงานถึงช่องโหว่ในฟังก์ชั่น filter_var ของภาษา PHP ที่มีช่องโหว่ทำให้การกรองข้อมูลตอบว่ากรองสำเร็จแม้ที่จริงไม่ได้กรองก็ตาม

Zomer ระบุว่าแจ้งทีมงาน PHP ไปแล้วหลายครั้งแต่ไม่ได้รับการตอบรับ แม้จะให้แพตช์แก้ช่องโหว่ไปด้วย จึงตัดสินใจเปิดเผยช่องโหว่นี้ต่อสาธารณะ (เขาไม่ได้ให้ timeline ว่าติดต่อไปยังทีมงานช่วงเวลาใดบ้าง) ทางด้านโครงการ PHP เองช่วงหลังประสบปัญหานักพัฒนาหลักลาออก อาจจะกระทบต่อการตอบรับรายงานของนักวิจัยภายนอก

แม้ช่องโหว่จะดูร้ายแรง แต่ข้อจำกัดสำคัญคือขนาดอินพุตของ user จะต้องมีขนาดเกิน 4GB ทำให้เซิร์ฟเวอร์ส่วนใหญ่ไม่ได้รับผลกระทบแต่อย่างใดเพราะคอนฟิกเริ่มต้นมักจำกัดขนาดอินพุตไว้เล็กกว่านี้

ที่มา - pwning.systems