බලපෑම
සත්යාපනය කළ ප්රහාරකයෙකුට යටින් පවතින වෙබ් සේවාදායකය [S1] මත අත්තනෝමතික PHP කේතය ක්රියාත්මක කළ හැක. මෙය දත්ත මුදවා ගැනීම, අඩවි අන්තර්ගතය වෙනස් කිරීම සහ සත්කාරක පරිසරය තුළ [S1] ඇතුළුව සම්පූර්ණ පද්ධති සම්මුතියකට ඉඩ සලසයි.
මූල හේතුව
SPIP අච්චු නිර්මාපක සහ සම්පාදක සංරචක [S1] හි අවදානම පවතී. උඩුගත කළ ගොනු [S1] සැකසීමේදී නිශ්චිත අච්චු ටැග් තුළ ආදානය නිසි ලෙස වලංගු කිරීමට හෝ සනීපාරක්ෂාව කිරීමට පද්ධතිය අසමත් වේ. විශේෂයෙන්, සම්පාදකය HTML ගොනු [S1] තුළ සැකසූ INCLUDE හෝ INCLURE ටැග් වැරදි ලෙස හසුරුවයි. ප්රහාරකයෙකු valider_xml ක්රියාව හරහා මෙම උඩුගත කළ ගොනු වෙත ප්රවේශ වූ විට, අනිෂ්ට ටැග් සැකසෙන අතර, PHP කේත ක්රියාත්මක කිරීම [S1] වෙත යොමු කරයි.
බලපෑමට ලක් වූ අනුවාද
- SPIP අනුවාද 3.1.2 සහ සියලුම පෙර අනුවාද [S1].
පිළියම්
[S1] මෙම අවදානම විසඳීමට SPIP 3.1.2 ට වඩා නව අනුවාදයකට යාවත්කාලීන කරන්න. ගොනු උඩුගත කිරීමේ අවසර විශ්වාසදායක පරිපාලන පරිශීලකයින්ට දැඩි ලෙස සීමා කර ඇති බවත් උඩුගත කළ ගොනු වෙබ් සේවාදායකයට ස්ක්රිප්ට් ලෙස ක්රියාත්මක කළ හැකි නාමාවලිවල ගබඩා නොවන බවත් සහතික කර ගන්න.
FixVibe ඒ සඳහා පරීක්ෂා කරන ආකාරය
FixVibe ප්රාථමික ක්රම දෙකක් හරහා මෙම අවදානම හඳුනා ගත හැක:
- නිෂ්ක්රීය ඇඟිලි සලකුණු: HTML මූලාශ්රයේ HTTP ප්රතිචාර ශීර්ෂයන් හෝ විශේෂිත මෙටා ටැග් විශ්ලේෂණය කිරීමෙන්, FixVibe හට SPIP [S1] හි ධාවන අනුවාදය හඳුනා ගත හැක. අනුවාදය 3.1.2 හෝ ඊට අඩු නම්, එය අධි-තීව්රතා අනතුරු ඇඟවීමක් [S1] ක්රියාරම්භ කරයි.
- නිධිය පරිලෝකනය: ඔවුන්ගේ GitHub නිධිය සම්බන්ධ කරන පරිශීලකයින් සඳහා, FixVibe හි repo ස්කෑනරයට SPIP මූල කේතයේ ඇති පරායත්ත ගොනු හෝ අනුවාද-නිර්වචන නියතයන් පරීක්ෂා කර අවදානමට ලක්විය හැකි ස්ථාපන ZBXETKVENZFIX.