በተለያዩ የክፍት ምንጭ ፕሮጄክቶች ውስጥ በገንቢዎች መካከል ግንኙነትን ለማደራጀት የሚያገለግል የጂኤንዩ ሜይል 2.1.35 የፖስታ አስተዳደር ስርዓት ማስተካከያ ታትሟል። ማሻሻያው ሁለት ተጋላጭነቶችን ይመለከታል፡የመጀመሪያው ተጋላጭነት (CVE-2021-42096) ማንኛውም ተጠቃሚ ለደብዳቤ መላኪያ ዝርዝር የተመዘገበ ተጠቃሚ የደብዳቤ ዝርዝሩን የአስተዳዳሪ ይለፍ ቃል እንዲወስን ያስችለዋል። ሁለተኛው ተጋላጭነት (CVE-2021-42097) መለያውን ለመያዝ በሌላ የደብዳቤ ዝርዝር ተጠቃሚ ላይ የCSRF ጥቃትን ለመፈጸም ያስችላል። ጥቃቱ ሊፈፀም የሚችለው በደብዳቤ ዝርዝሩ ውስጥ በተመዘገቡ አባል ብቻ ነው። መልእክተኛ 3 በዚህ ጉዳይ አልተነካም።
ሁለቱም ችግሮች የተፈጠሩት በአማራጮች ገጽ ላይ ከCSRF ጥቃቶች ለመከላከል ጥቅም ላይ የሚውለው csrf_token እሴት ሁልጊዜ ከአስተዳዳሪው ቶከን ጋር ተመሳሳይ ነው፣ እና ለአሁኑ ክፍለ-ጊዜ ተጠቃሚ በተናጠል ያልተፈጠረ ነው። csrf_token ሲያመነጭ የአስተዳዳሪ ይለፍ ቃል ሃሽ መረጃ ጥቅም ላይ ይውላል፣ ይህም የይለፍ ቃሉን በጉልበት መወሰን ቀላል ያደርገዋል። ለአንዱ ተጠቃሚ የተፈጠረ csrf_token ለሌላ ተጠቃሚም ተስማሚ ስለሆነ አጥቂ በሌላ ተጠቃሚ ሲከፈት ትዕዛዞችን በ Mailman በይነገጽ ላይ ይህን ተጠቃሚ ወክሎ እንዲፈፀም እና መለያውን እንዲቆጣጠር የሚያደርግ ገጽ መፍጠር ይችላል።
ምንጭ: opennet.ru