В PHP библиотеках XML-RPC и PEAR XML-RPC снова обнаружена уязвимость, позволяющая запустить злоумышленнику свой PHP код.

Опасность грозит прежде всего пользователям систем управления контентом в которых используется XML-RPC (например, PostNuke, Drupal, b2evolution, TikiWiki, PhpWiki).

Механизм проблемы, тот же что и в прошлой ошибке, найденной в конце июня, - подстановка через eval(). Команда, Hardened-PHP Project, обнаружившая уязвимость, рекомендовала разработчикам XML-RPC полностью избавиться от практики использования eval() в коде библиотеки.