| ZXCVFIXVIBESEG3 |
ପ୍ରଭାବ
| ZXCVFIXVIBESEG4 | ଏକ ପ୍ରାମାଣିକ ଆକ୍ରମଣକାରୀ ଅନ୍ତର୍ନିହିତ ୱେବ୍ ସର୍ଭର [S1] ରେ ଇଚ୍ଛାଧୀନ PHP କୋଡ୍ ଏକଜେକ୍ୟୁଟ୍ କରିପାରିବ | ଡାଟା ଏକ୍ସଫିଲଟ୍ରେସନ୍, ସାଇଟ୍ ବିଷୟବସ୍ତୁର ପରିବର୍ତ୍ତନ ଏବଂ ହୋଷ୍ଟିଂ ପରିବେଶ [S1] ମଧ୍ୟରେ ପାର୍ଟାଲ୍ ଗତି ସହିତ ଏହା ସମ୍ପୂର୍ଣ୍ଣ ସିଷ୍ଟମ୍ ଆପୋଷ ବୁ for ାମଣା ପାଇଁ ଅନୁମତି ଦିଏ |
| ZXCVFIXVIBESEG5 |
ମୂଳ କାରଣ |
| ZXCVFIXVIBESEG6 | SPIP ଟେମ୍ପଲେଟ୍ ରଚନା ଏବଂ କମ୍ପାଇଲର୍ ଉପାଦାନ [S1] ରେ ଦୁର୍ବଳତା ବିଦ୍ୟମାନ | [S1] ଅପଲୋଡ୍ ହୋଇଥିବା ଫାଇଲଗୁଡ଼ିକୁ ପ୍ରକ୍ରିୟାକରଣ କରିବା ସମୟରେ ନିର୍ଦ୍ଦିଷ୍ଟ ଟେମ୍ପଲେଟ୍ ଟ୍ୟାଗ୍ ମଧ୍ୟରେ ଇନପୁଟ୍ ସଠିକ୍ ଭାବରେ ବ valid ଧ କିମ୍ବା ସାନିଟାଇଜ୍ କରିବାରେ ବିଫଳ ହୁଏ | ନିର୍ଦ୍ଦିଷ୍ଟ ଭାବରେ, କମ୍ପାଇଲର୍ ଭୁଲ୍ ଭାବରେ ନିର୍ମିତ INCLUDE କିମ୍ବା INCLURE ଟ୍ୟାଗ୍ଗୁଡ଼ିକୁ HTML ଫାଇଲଗୁଡ଼ିକ [S1] କୁ ନିୟନ୍ତ୍ରଣ କରିଥାଏ | ଯେତେବେଳେ ଜଣେ ଆକ୍ରମଣକାରୀ valider_xml କ୍ରିୟା ମାଧ୍ୟମରେ ଏହି ଅପଲୋଡ୍ ହୋଇଥିବା ଫାଇଲଗୁଡ଼ିକୁ ଆକ୍ସେସ୍ କରନ୍ତି, ଦୁର୍ଭାଗ୍ୟପୂର୍ଣ୍ଣ ଟ୍ୟାଗଗୁଡ଼ିକ ପ୍ରକ୍ରିୟାକରଣ କରାଯାଇଥାଏ, ଯାହା PHP କୋଡ୍ ନିଷ୍ପାଦନ [S1] କୁ ନେଇଥାଏ |
| ZXCVFIXVIBESEG7 |
ପ୍ରଭାବିତ ସଂସ୍କରଣ |
| ZXCVFIXVIBESEG8 |
- SPIP ସଂସ୍କରଣ 3.1.2 ଏବଂ ସମସ୍ତ ପୂର୍ବ ସଂସ୍କରଣ [S1] |
| ZXCVFIXVIBESEG9 |
ପ୍ରତିକାର
| ZXCVFIXVIBESEG10 ଏହି ଦୁର୍ବଳତାକୁ ସମାଧାନ କରିବା ପାଇଁ ZIPCVFIXVIBETOKEN0ZXCV କୁ 3.1.2 ରୁ ନୂତନ ସଂସ୍କରଣରେ SPIP ଅଦ୍ୟତନ କରନ୍ତୁ | ନିଶ୍ଚିତ କରନ୍ତୁ ଯେ ଫାଇଲ ଅପଲୋଡ୍ ଅନୁମତିଗୁଡିକ ବିଶ୍ୱସ୍ତ ପ୍ରଶାସନିକ ଉପଭୋକ୍ତାମାନଙ୍କ ପାଇଁ କଠୋର ଭାବରେ ସୀମିତ ଏବଂ ଅପଲୋଡ୍ ହୋଇଥିବା ଫାଇଲଗୁଡିକ ଡିରେକ୍ଟୋରୀରେ ଗଚ୍ଛିତ ନୁହେଁ ଯେଉଁଠାରେ ୱେବ୍ ସର୍ଭର ସେମାନଙ୍କୁ ସ୍କ୍ରିପ୍ଟ ଭାବରେ [S1] ଭାବରେ କାର୍ଯ୍ୟକାରୀ କରିପାରିବ |
| ZXCVFIXVIBESEG11
ଏହା ପାଇଁ FixVibe କିପରି ପରୀକ୍ଷା କରେ |
| ZXCVFIXVIBESEG12 FixVibe ଏହି ଦୁର୍ବଳତାକୁ ଦୁଇଟି ପ୍ରାଥମିକ ପଦ୍ଧତି ମାଧ୍ୟମରେ ଚିହ୍ନଟ କରିପାରିବ:
| ZXCVFIXVIBESEG13 | । ଯଦି ସଂସ୍କରଣ 3.1.2 କିମ୍ବା ତା’ଠାରୁ କମ୍, ଏହା ଏକ ଉଚ୍ଚ ଗମ୍ଭୀରତା ଆଲର୍ଟ [S1] ଟ୍ରିଗର କରିବ | | ZXCVFIXVIBESEG14 ।।