# ተጽዕኖ የተረጋገጠ አጥቂ ከስር ባለው የድር አገልጋይ [S1] ላይ የዘፈቀደ የPHP ኮድ ማስፈጸም ይችላል። ይህ የመረጃ ማጣራትን፣ የጣቢያ ይዘትን ማሻሻል እና በአስተናጋጅ አካባቢ ውስጥ የጎን እንቅስቃሴን ጨምሮ የተሟላ የስርዓት ስምምነትን ይፈቅዳል [S1]።
የስር መንስኤ
ተጋላጭነቱ በSPIP አብነት አቀናባሪ እና በአቀናባሪ ክፍሎች [S1] ውስጥ አለ። የተሰቀሉ ፋይሎችን [S1] ሲሰራ ስርዓቱ በተወሰኑ የአብነት መለያዎች ውስጥ ያለውን ግብአት በትክክል ማረጋገጥ ወይም ማጽዳት አልቻለም። በተለይም ማጠናከሪያው በኤችቲኤምኤል ፋይሎች ውስጥ የተሰሩ INCLUDE ወይም INCLURE መለያዎችን በስህተት ያስተናግዳል። አንድ አጥቂ እነዚህን የተጫኑ ፋይሎችን በvalider_xml ድርጊት ሲደርስ ተንኮል-አዘል መለያዎቹ ይስተናገዳሉ፣ ይህም ወደ ፒኤችፒ ኮድ አፈጻጸም [S1] ይመራል።
የተጎዱ ስሪቶች
- የSPIP ስሪቶች 3.1.2 እና ሁሉም የቀድሞ ስሪቶች [S1]።
ማገገሚያ
ይህንን ተጋላጭነት [S1]ን ለመፍታት SPIPን ከ3.1.2 ወደ አዲስ ስሪት ያዘምኑ። የፋይል ሰቀላ ፈቃዶች ለታመኑ የአስተዳደር ተጠቃሚዎች በጥብቅ የተከለከሉ መሆናቸውን እና የተሰቀሉ ፋይሎች የድር አገልጋዩ እንደ [S1] ስክሪፕት በሚያስፈጽምባቸው ማውጫዎች ውስጥ እንደማይቀመጡ ያረጋግጡ።
FixVibe እንዴት እንደሚፈትሽ
FixVibe ይህንን ተጋላጭነት በሁለት ዋና ዘዴዎች ሊያውቅ ይችላል፡-
- ተገብሮ የጣት አሻራ: የኤችቲቲፒ ምላሽ ራስጌዎችን ወይም የተወሰኑ ሜታ መለያዎችን በኤችቲኤምኤል ምንጭ ውስጥ በመተንተን፣ FixVibe የSPIP [S1] አሂድ ስሪት መለየት ይችላል። ስሪቱ 3.1.2 ወይም ያነሰ ከሆነ፣ ከፍተኛ ክብደት ያለው ማንቂያ [S1] ያስነሳል።
- የማከማቻ ቅኝት፡ የGitHub ማከማቻዎቻቸውን ለሚያገናኙ ተጠቃሚዎች የFixVibe ሬፖ ስካነር በSPIP የምንጭ ኮድ ውስጥ ያሉ የጥገኝነት ፋይሎችን ወይም የስሪትን ፍቺ ቋሚዎችን መፈተሽ ይችላል ZXTOKEXZCV