Ua paʻi ʻia kahi hoʻokuʻu hoʻoponopono o ka ʻōnaehana hoʻokele leka GNU Mailman 2.1.35, i hoʻohana ʻia no ka hoʻonohonoho ʻana i ke kamaʻilio ma waena o nā mea hoʻomohala ma nā ʻano papahana open-source. Hoʻopuka ka mea hou i nā mea nāwaliwali ʻelua: ʻO ka nāwaliwali mua (CVE-2021-42096) hiki i kekahi mea hoʻohana i kau inoa i kahi papa inoa leka uila e hoʻoholo i ka ʻōlelo huna no kēlā papa leka uila. ʻO ka lua o ka nāwaliwali (CVE-2021-42097) hiki ke hoʻokō i kahi hoʻouka kaua CSRF ma kahi mea hoʻohana leka uila e hopu i kāna moʻokāki. Hiki ke hana ʻia ka hoʻouka ʻana e kekahi lālā i kākau inoa ʻia o ka papa inoa leka uila. ʻAʻole pili ʻo Mailman 3 i kēia pilikia.
Hoʻokumu ʻia nā pilikia ʻelua ma muli o ka waiwai csrf_token i hoʻohana ʻia e pale aku i ka hoʻouka ʻana o CSRF ma ka ʻaoʻao koho e like mau me ka hōʻailona luna, a ʻaʻole i hoʻokaʻawale ʻia no ka mea hoʻohana o ke kau o kēia manawa. Ke hoʻokumu nei i csrf_token, hoʻohana ʻia ka ʻike e pili ana i ka hash o ka ʻōlelo huna luna, e hoʻomaʻamaʻa i ka hoʻoholo ʻana o ka ʻōlelo huna me ka ikaika. No ka mea, ua kūpono ka csrf_token no ka mea hoʻohana hoʻokahi no kekahi mea hoʻohana, hiki i ka mea hoʻouka ke hana i kahi ʻaoʻao i ka wā e wehe ʻia ai e kekahi mea hoʻohana, hiki ke hoʻokō i nā kauoha ma ka interface Mailman ma ka inoa o kēia mea hoʻohana a loaʻa ka mana o kāna moʻokāki.
Source: opennet.ru