Täsir
Hakyky hüjümçi, esasy web serwer [S1]-de özbaşdak PHP koduny ýerine ýetirip biler. Bu, [S1] maglumat gurşawynda maglumatlaryň süzülmesini, sahypanyň mazmunyny üýtgetmegi we gapdal hereketi öz içine alýan doly ulgam ylalaşygyny üpjün edýär.
Kök sebäp
Gowşaklyk, SPIP şablon kompozitorynda we düzüjilerinde [S1] bar. Ulgam ýüklenen faýllary [S1] gaýtadan işlenende belli bir şablon bellikleriniň içindäki girizişi dogry tassyklap ýa-da arassalap bilmeýär. Hususan-da, düzüji [S1] HTML faýllarynyň içinde ýasalan INCLUDE ýa-da INCLURE belliklerini nädogry dolandyrýar. Haçan-da bir hüjümçi bu ýüklenen faýllara valider_xml hereketi arkaly girende, zyýanly bellikler gaýtadan işlenýär we PHP kody ýerine ýetirilmegine sebäp bolýar [S1].
Täsirli wersiýalar
- 3.1.2 SPIP wersiýalary we [S1]-iň öňki wersiýalary.
Düzediş
Bu gowşaklygy çözmek üçin SPIP-i 3.1.2-den has täze wersiýa täzeläň [S1]. Faýl ýüklemek rugsatlarynyň ygtybarly administratiw ulanyjylar üçin berk çäklendirilendigine we ýüklenen faýllaryň web serweriniň [S1] skriptleri hökmünde ýerine ýetirip biljek kataloglarynda saklanmaýandygyna göz ýetiriň.
FixVibe munuň üçin nädip synag edýär
FixVibe bu gowşaklygy iki esasy usul arkaly kesgitläp biler:
- Wersiýa 3.1.2 ýa-da ondan pes bolsa, ýokary derejeli duýduryş [S1] döreder.
- Ammar skaneri: GitHub ammarlaryny birleşdirýän ulanyjylar üçin FixVibe repo skaneri ZXCVFIXVIXETVEN