ផលប៉ះពាល់
ZXCVFIXVIBESEG ៤ អ្នកវាយប្រហារដែលបានផ្ទៀងផ្ទាត់អាចប្រតិបត្តិកូដ PHP បំពានលើម៉ាស៊ីនមេបណ្តាញមូលដ្ឋាន [S1] ។ នេះអនុញ្ញាតឱ្យមានការសម្របសម្រួលពេញលេញនៃប្រព័ន្ធ រួមទាំងការដកទិន្នន័យ ការកែប្រែខ្លឹមសារនៃគេហទំព័រ និងចលនានៅពេលក្រោយនៅក្នុងបរិយាកាសបង្ហោះ [S1] ។
ZXCVFIXVIBESEG ៥
មូលហេតុ
ZXCVFIXVIBESEG ៦ ភាពងាយរងគ្រោះមាននៅក្នុងកម្មវិធីតែងគំរូ SPIP និងសមាសធាតុចងក្រង [S1] ។ ប្រព័ន្ធនេះបរាជ័យក្នុងការធ្វើឱ្យមានសុពលភាពត្រឹមត្រូវ ឬសម្អាតធាតុបញ្ចូលក្នុងស្លាកគំរូជាក់លាក់ នៅពេលដំណើរការឯកសារដែលបានផ្ទុកឡើង [S1] ។ ជាពិសេស កម្មវិធីចងក្រងគ្រប់គ្រងដោយមិនត្រឹមត្រូវនូវស្លាក INCLUDE ឬ INCLURE នៅខាងក្នុងឯកសារ HTML [S1] ។ នៅពេលអ្នកវាយប្រហារចូលប្រើឯកសារដែលបានបង្ហោះទាំងនេះតាមរយៈសកម្មភាព valider_xml ស្លាកព្យាបាទត្រូវបានដំណើរការ ដែលនាំទៅដល់ការប្រតិបត្តិកូដ PHP [S1] ។
ZXCVFIXVIBESEG ៧
កំណែដែលរងផលប៉ះពាល់
ZXCVFIXVIBESEG ៨
- កំណែ SPIP 3.1.2 និងកំណែមុនទាំងអស់ [S1] ។
សំណង
ZXCVFIXVIBESEG ១០ ធ្វើបច្ចុប្បន្នភាព SPIP ទៅកំណែថ្មីជាង 3.1.2 ដើម្បីដោះស្រាយភាពងាយរងគ្រោះនេះ [S1] ។ ត្រូវប្រាកដថាការអនុញ្ញាតផ្ទុកឯកសារត្រូវបានដាក់កម្រិតយ៉ាងតឹងរ៉ឹងចំពោះអ្នកប្រើប្រាស់រដ្ឋបាលដែលជឿទុកចិត្ត ហើយឯកសារដែលបានផ្ទុកឡើងមិនត្រូវបានរក្សាទុកក្នុងថតដែលម៉ាស៊ីនមេគេហទំព័រអាចប្រតិបត្តិពួកវាជាស្គ្រីប [S1] ។
ZXCVFIXVIBESEG ១១
របៀបដែល FixVibe ធ្វើតេស្តសម្រាប់វា។
ZXCVFIXVIBESEG ១២ FixVibe អាចរកឃើញភាពងាយរងគ្រោះនេះតាមរយៈវិធីសាស្ត្រចម្បងពីរ៖
ZXCVFIXVIBESEG ១៣
- ការបោះពុម្ពស្នាមម្រាមដៃអកម្ម៖ តាមរយៈការវិភាគបឋមកថា HTTP ឆ្លើយតប ឬស្លាកមេតាជាក់លាក់នៅក្នុងប្រភព HTML FixVibe អាចកំណត់អត្តសញ្ញាណកំណែដែលកំពុងដំណើរការរបស់ SPIP [S1] ។ ប្រសិនបើកំណែ 3.1.2 ឬទាបជាងនេះ វានឹងបង្កឱ្យមានការជូនដំណឹងអំពីភាពធ្ងន់ធ្ងរខ្ពស់ [S1] ។
- Repository Scanning: សម្រាប់អ្នកប្រើប្រាស់ដែលភ្ជាប់ឃ្លាំង GitHub របស់ពួកគេ ម៉ាស៊ីនស្កេន repo របស់ FixVibe អាចពិនិត្យមើលឯកសារអាស្រ័យ ឬកំណែកំណត់ថេរនៅក្នុងកូដប្រភព SPIP ដើម្បីកំណត់អត្តសញ្ញាណការដំឡើងដែលងាយរងគ្រោះ ZXCVFIXZVIBETOK.