د Horizon3 څیړونکو د اپاچي سوپرسیټ ډیټا تحلیل او لید پلیټ فارم ډیری تاسیساتو کې امنیتي ستونزو ته پاملرنه راجلب کړه. په 2124 کې د 3176 عامه سرورونو څخه چې د اپاچي سوپرسیټ سره مطالعه شوي، د معیاري کوډ کولو کیلي کارول د مثال په ترتیب کولو فایل کې د ډیفالټ لخوا مشخص شوي کشف شوي. دا کیلي د فلاسک پایتون کتابتون کې د سیشن کوکیز رامینځته کولو لپاره کارول کیږي ، کوم چې برید کونکي ته اجازه ورکوي چې کیلي پیژني د جعلي سیشن پیرامیټرې رامینځته کړي ، د اپاچي سوپرسیټ ویب انٹرفیس سره وصل شي او له تړل شوي ډیټابیسونو څخه ډیټا پورته کړي ، یا د اپاچي سوپرسیټ حقونو سره د کوډ اجرا تنظیم کړي. .
په زړه پورې خبره دا ده چې څیړونکو په پیل کې پراختیا کونکو ته په 2021 کې د ستونزې په اړه خبر ورکړ ، وروسته له هغه چې د اپاچي سوپرسیټ 1.4.1 په خپرولو کې ، په جنوري 2022 کې رامینځته شو ، د SECRET_KEY پیرامیټر ارزښت د "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET" کرښه سره بدل شو ، چې یو چیک و. په کوډ کې اضافه شوي، که دا ارزښت لاګ ته خبرداری ورکوي.
د دې کال په فبروري کې، څیړونکو پریکړه وکړه چې د زیان منونکي سیسټمونو سکین تکرار کړي او د دې حقیقت سره مخ شوي چې لږو خلکو خبرداری ته پاملرنه کړې او د اپاچي سوپرسیټ سرورونو 67٪ لاهم د ترتیب کولو مثالونو، ځای پرځای کولو ټیمپلیټونو یا اسنادو څخه کلیدونو کارولو ته دوام ورکوي. په ورته وخت کې، ځینې لوی شرکتونه، پوهنتونونه او دولتي ادارې د هغو سازمانونو په منځ کې وې چې د ډیفالټ کیلي کاروي.
د مثال په ترتیب کې د کاري کیلي مشخص کول اوس د زیان منونکي (CVE-2023-27524) په توګه پیژندل کیږي، کوم چې د اپاچي سوپرسیټ 2.1 په خوشې کولو کې د یوې غلطۍ د محصول له لارې ټاکل شوی و چې پلیټ فارم د پیل کولو څخه مخنیوی کوي کله چې په کې مشخص شوي کیلي کاروي. مثال (یوازې د اوسني نسخې د مثال په ترتیب کې مشخص شوي کلیدي په پام کې نیول شوي، زاړه معیاري کیلي او کیلي د ټیمپلیټونو او اسنادو څخه بلاک شوي ندي). یو ځانګړی سکریپټ وړاندیز شوی ترڅو په شبکه کې د زیانونو شتون وګوري.
سرچینه: opennet.ru