Navoaka ny famoahana fanitsiana ny rafitra fitantanana mailaka GNU Mailman 2.1.35, ampiasaina amin'ny fandaminana ny fifandraisana eo amin'ny mpamorona amin'ny tetikasa open-source isan-karazany. Ny fanavaozam-baovao dia miresaka vulnerability roa: Ny vulnerability voalohany (CVE-2021-42096) dia ahafahan'ny mpampiasa misoratra anarana amin'ny lisitry ny mailaka hamaritana ny tenimiafina admin ho an'io lisitra mailaka io. Ny vulnerability faharoa (CVE-2021-42097) dia ahafahana manao fanafihana CSRF amin'ny mpampiasa lisitra mailaka hafa mba haka ny kaontiny. Mpikambana misoratra anarana ao amin'ny lisitry ny mailaka ihany no afaka manao ny fanafihana. Tsy voakasik'ity olana ity ny Mailman 3.
Ireo olana roa ireo dia vokatry ny zava-misy fa ny sandan'ny csrf_token ampiasaina hiarovana amin'ny fanafihana CSRF amin'ny pejy safidy dia mitovy foana amin'ny token'ny mpandrindra, ary tsy noforonina manokana ho an'ny mpampiasa ny fivoriana ankehitriny. Rehefa mamorona csrf_token dia ampiasaina ny fampahalalana momba ny hash amin'ny tenimiafina mpitantana, izay manamora ny famaritana ny tenimiafina amin'ny herisetra. Koa satria ny csrf_token noforonina ho an'ny mpampiasa iray dia mety ho an'ny mpampiasa iray hafa, ny mpanafika dia afaka mamorona pejy iray izay, rehefa sokafan'ny mpampiasa hafa, dia mety hahatonga ny baiko hotanterahina ao amin'ny interface Mailman amin'ny anaran'ity mpampiasa ity ary mahazo fifehezana ny kaontiny.
Source: opennet.ru