Kev kho qhov tso tawm ntawm GNU Mailman 2.1.35 kev tswj hwm kev xa ntawv tau raug luam tawm, siv los npaj kev sib txuas lus ntawm cov neeg tsim khoom hauv ntau qhov haujlwm qhib. Qhov hloov tshiab hais txog ob qhov tsis zoo: Thawj qhov tsis zoo (CVE-2021-42096) tso cai rau txhua tus neeg siv tau sau npe rau daim ntawv xa ntawv los txiav txim siab tus password admin rau daim ntawv xa ntawv. Qhov thib ob qhov tsis zoo (CVE-2021-42097) ua rau nws muaj peev xwm ua kom muaj kev tawm tsam CSRF ntawm lwm tus neeg siv cov npe xa ntawv mus txeeb nws tus account. Qhov kev tawm tsam tuaj yeem ua tau tsuas yog los ntawm ib tus tswv cuab ntawm cov npe xa ntawv. Mailman 3 tsis cuam tshuam los ntawm qhov teeb meem no.
Ob qho teeb meem yog tshwm sim los ntawm qhov tseeb tias tus nqi csrf_token siv los tiv thaiv CSRF kev tawm tsam ntawm nplooj ntawv xaiv yeej ib txwm zoo ib yam li tus thawj tswj hwm token, thiab tsis tau tsim cais rau cov neeg siv ntawm qhov kev sib kho tam sim no. Thaum tsim csrf_token, cov ntaub ntawv hais txog tus hash ntawm tus thawj coj lo lus zais yog siv, uas yooj yim rau kev txiav txim siab ntawm tus password los ntawm brute force. Txij li thaum csrf_token tsim rau ib tus neeg siv kuj tseem tsim nyog rau lwm tus neeg siv, tus neeg tawm tsam tuaj yeem tsim nplooj ntawv uas, thaum qhib los ntawm lwm tus neeg siv, tuaj yeem ua rau cov lus txib raug tua hauv Mailman interface sawv cev ntawm tus neeg siv no thiab tau txais kev tswj hwm ntawm nws tus account.
Tau qhov twg los: opennet.ru