Fiantraikany
Ny mpanafika voamarina dia afaka manatanteraka kaody PHP tsy misy dikany amin'ny mpizara tranonkala [S1]. Izany dia ahafahan'ny marimaritra iraisana amin'ny rafitra, ao anatin'izany ny exfiltration angon-drakitra, ny fanovana ny votoatin'ny tranokala, ary ny hetsika lateral ao anatin'ny tontolo fampiantranoana [S1].
Antony fototra
Ny vulnerability dia misy ao amin'ny mpamorona template SPIP sy singa mpanangona [S1]. Ny rafitra dia tsy mahavita manamarina na manadio araka ny tokony ho izy ny fidirana ao anatin'ny marika môdely manokana rehefa manamboatra rakitra nampidirina [S1]. Amin'ny ankapobeny dia diso ny fandraisan'ny mpamoron-kira ny marika INCLUDE na INCLURE tao anaty rakitra HTML [S1]. Rehefa miditra amin'ireo rakitra nampidirina ireo ny mpanafika amin'ny alalan'ny hetsika valider_xml, dia voahodina ireo marika maloto, izay mitarika amin'ny famonoana kaody PHP [S1].
Versions voakasika
- Dikan-teny SPIP 3.1.2 sy ny dikan-teny teo aloha rehetra [S1].
Fanarenana
Havaozy ny SPIP amin'ny dikan-teny vaovao kokoa noho ny 3.1.2 mba hamahana ity vulnerable ity [S1]. Ataovy azo antoka fa voafetra ho an'ireo mpampiasa administratif azo itokisana ny fahazoan-dàlana mampakatra rakitra ary tsy voatahiry ao anaty lahatahiry ahafahan'ny mpizara tranonkala manatanteraka azy ireo ho script [S1].
Ahoana no andrana FixVibe momba izany
FixVibe dia mety hamantatra ity vulnerable ity amin'ny alalan'ny fomba roa voalohany:
- Fingerprinting passive: Amin'ny famakafakana ny lohatenin'ny valin'ny HTTP na ny meta tag manokana ao amin'ny loharano HTML, FixVibe dia afaka mamantatra ny dikan-teny mandeha amin'ny SPIP [S1]. Raha 3.1.2 na ambany ny dikan-teny, dia mety hiteraka fanairana mahery vaika [S1] izany.
- Fanaovana fitehirizam-bokatra: Ho an'ireo mpampiasa izay mampifandray ny fitahirizana GitHub azy, ny scanner repoblikana FixVibe dia afaka manara-maso ireo rakitra fiankinan-doha na tsy miova mamaritra dikan-teny ao amin'ny kaody loharano SPIP mba hamantarana ireo fametrahana marefo ZXCVFIXXVIBETOVEN0.