Алдартай эрдэнийн багцад
Хортой өөрчлөлт нь анги дахь "#authenticate" аргыг хүчингүй болгодог
Identity, дараа нь аргын дуудлагын үр дүнд таних оролдлогын үеэр илгээсэн имэйл болон нууц үг халдагчдын хост руу илгээгдэнэ. Ингэснээр Identity анги ашиглаж, үлдсэн үйлчлүүлэгчийн номын сангийн эмзэг хувилбарыг суулгаж байгаа үйлчилгээний хэрэглэгчдийн нэвтрэх параметрүүдийг таслан зогсоодог.
Нэмж дурдахад, кодонд арын хаалга нэмэгдсэн бөгөөд энэ нь үнэлгээний функцээр дамжуулан дурын Ruby кодыг гүйцэтгэх боломжийг олгодог. Энэ кодыг халдагчийн түлхүүрээр баталгаажуулсан күүкигээр дамжуулдаг. Гадны хост дээр хортой багц суулгасан тухай халдагчдад мэдэгдэхийн тулд хохирогчийн системийн URL болон DBMS болон үүлэн үйлчилгээнд хадгалагдсан нууц үг зэрэг орчны талаарх мэдээллийг сонгон илгээдэг. Дээр дурдсан хортой кодыг ашиглан криптовалют олборлох скриптүүдийг татаж авах оролдлого бүртгэгдсэн байна.
Хортой кодыг судалсны дараа ийм байсан
-
зоос_суурь : 4.2.2, 4.2.1 -
блокчейн_түрийвч : 0.0.6, 0.0.7 -
гайхалтай-бот : 1.18.0 -
доге зоос : 1.0.2 -
капистрано өнгө : 0.5.5 -
биткойн_хоосон : 4.3.3 -
лита_зоос : 0.0.3 -
тун удахгүй : 0.2.8 -
omniauth_amazon : 1.0.1 -
cron_parser : 1.0.12, 1.0.13, 0.1.4
Энэ жагсаалтын эхний хортой багцыг 12-р сарын 2500-нд нийтэлсэн боловч ихэнх нь XNUMX-р сард гарч ирсэн. Нийтдээ эдгээр багцыг XNUMX орчим удаа татаж авсан.
Эх сурвалж: opennet.ru