Ipa
Olukọni ti o ni idaniloju le ṣiṣẹ koodu PHP lainidii lori olupin wẹẹbu ti o wa labẹ [S1]. Eyi ngbanilaaye fun idawọle eto pipe, pẹlu exfiltration data, iyipada akoonu aaye, ati iṣipopada ita laarin agbegbe alejo gbigba [S1].
Gbongbo Idi
Ailagbara naa wa ninu olupilẹṣẹ awoṣe SPIP ati awọn paati akopọ [S1]. Eto naa kuna lati fọwọsi daradara tabi sọ titẹ sii di mimọ laarin awọn ami awoṣe kan pato nigbati o ba n ṣiṣẹ awọn faili ti a gbejade [S1]. Ni pato, olupilẹṣẹ ti ko tọ kapa INCLUDE tabi awọn ami INCLURE inu awọn faili HTML [S1]. Nigbati ikọlu ba wọle si awọn faili ti o gbejade nipasẹ iṣẹ valider_xml, awọn afi irira ti ni ilọsiwaju, ti o yori si ipaniyan koodu PHP [S1].
Awọn ẹya ti o fowo
- SPIP awọn ẹya 3.1.2 ati gbogbo awọn ṣaaju awọn ẹya [S1].
Atunṣe
Ṣe imudojuiwọn SPIP si ẹya tuntun ju 3.1.2 lati koju ailagbara yii [S1]. Rii daju pe awọn igbanilaaye ikojọpọ faili ti wa ni ihamọ muna si awọn olumulo iṣakoso ti o gbẹkẹle ati pe awọn faili ti a gbejade ko ni fipamọ sinu awọn ilana nibiti olupin wẹẹbu le ṣe wọn bi awọn iwe afọwọkọ [S1].
Bawo ni FixVibe ṣe idanwo fun rẹ
FixVibe le rii ailagbara yii nipasẹ awọn ọna akọkọ meji:
- Palolo Fingerprinting: Nipa gbeyewo HTTP esi afori tabi pato meta afi ni HTML orisun, FixVibe le da awọn nṣiṣẹ version of SPIP [S1]. Ti ẹya naa ba jẹ 3.1.2 tabi isalẹ, yoo ṣe okunfa gbigbọn to gaju [S1].
- Ṣiṣayẹwo ibi ipamọ: Fun awọn olumulo ti o so awọn ibi ipamọ GitHub wọn pọ, FixVibe's repo scanner le ṣayẹwo awọn faili ti o gbẹkẹle tabi awọn iyasọtọ ti ikede ni koodu orisun SPIP lati ṣe idanimọ awọn fifi sori ẹrọ ti o jẹ ipalara ZXCVNXCV.