He whakaraeraetanga tino nui (CVE-2023-27482) kua kitea i roto i te papaaahi aunoatanga whare tuwhera Kaiāwhina Kaainga, e taea ai e koe te karo i te whakamotuhēhēnga me te uru katoa ki te Supervisor API whaimana, e taea ai e koe te huri i nga tautuhinga, te whakauru/whakahou i te rorohiko, whakahaere i nga taapiri me nga taapiri.
Ka pa te raru ki nga whakaurunga e whakamahi ana i te waahanga Kaitirotiro kua puta mai i ona putanga tuatahi (mai i te tau 2017). Hei tauira, ko te whakaraerae kei roto i te OS Kaiawhina Kaainga me nga taiao Tiaki Kaiawhina Kaainga, engari kaore e pa ki te Ipu Kaiawhina Kaainga (Docker) me te hanga-a-ringa i nga taiao Python i runga i te Kaawhina Kaawhina Core.
Kua whakatauhia te whakaraeraetanga i roto i te putanga 2023.01.1 a te Kaiawhina Kaihautu. He taapiri mahi kei roto i te tukunga Kaiawhina Kaainga 2023.3.0. I runga i nga punaha kaore e taea te whakauru i te whakahou ki te aukati i te whakaraeraetanga, ka taea e koe te aukati i te uru ki te tauranga whatunga o te ratonga paetukutuku Kaiawhina Kainga mai i nga whatunga o waho.
Ko te tikanga mo te whakamahi i te whakaraeraetanga kaore ano kia whakamaaramahia (e ai ki nga kaihanga, tata ki te 1/3 o nga kaiwhakamahi kua whakauruhia te whakahou me te maha o nga punaha kei te noho whakaraerae). I roto i te putanga whakatika, i raro i te ahua o te arotautanga, kua whakarereketia ki te tukatuka o nga tohu me nga patai kua tukuna, kua taapirihia nga whiriwhiringa hei aukati i te whakakapinga o nga patai SQL me te whakaurunga o te " » и использования путей с «../» и «/./».
Source: opennet.ru