Johtuu virheestä järjestettäessä välimuistia sisällön toimitusjärjestelmässä, kun yritetään ladata yhtä kokoonpanoista toissapäivänä korjaava vapautus Esikatseluversio, joka ei sisällä kaikkia korjauksia. Ongelma vain arkisto , kokoonpano jaettu oikein.
Kaikkia käyttäjiä, jotka latasivat tiedoston ”Python-3.5.8.tar.xz” 12 tunnin aikana julkaisun jälkeen, kehotetaan tarkistamaan ladattujen tietojen oikeellisuus tarkistussummalla (MD5 4464517ed6044bca4fc78ea9ed086c36). Toisin kuin lopullinen versio, esikatseluversio ei sisältänyt haavoittuvuuksia XML-RPC-palvelinkoodissa. Haavoittuvuus salli JavaScript-injektion (XSS) palvelimen_title-kentän kautta, koska kulmahakasulkeet puuttuivat. Hyökkääjä voi saada JavaScript-korvauksen, jos sovellus asettaa palvelimen nimen käyttäjän syötteen perusteella (esimerkiksi "server.set_server_name('test ’)»).
Lähde: opennet.ru