Fis-server http
(CVE-2019-16278), li jippermetti lil attakkant jesegwixxi kodiċi mill-bogħod fuq is-server billi jibgħat talba HTTP maħduma apposta. Il-kwistjoni se tiġi ffissata fir-rilaxx
Il-vulnerabbiltà hija kkawżata minn żball fil-funzjoni http_verify, li titlef l-aċċess għall-kontenut tas-sistema tal-fajls barra mid-direttorju tal-għeruq tas-sit billi tgħaddi s-sekwenza ".%0d./" fit-triq. Il-vulnerabbiltà sseħħ minħabba li ssir verifika għall-preżenza ta’ karattri “../” qabel ma titwettaq il-funzjoni ta’ normalizzazzjoni tal-passaġġ, li fiha karattri ta’ linja ġdida (%0d) jitneħħew mis-sekwenza.
Għal
Sors: opennet.ru