අන්තර්ගත බෙදා හැරීමේ පද්ධතිය තුළ හැඹිලිගත කිරීම සංවිධානය කිරීමේදී ඇති වූ දෝෂයක් හේතුවෙන්, එකලස් කිරීම් වලින් එකක් බාගත කිරීමට උත්සාහ කරන විට පෙරේදා නිවැරදි කිරීමේ නිකුතුව සියලු නිවැරදි කිරීම් අඩංගු නොවන පෙරදසුන් ගොඩනැගීමක්. ගැටලුව ලේඛනාගාරය පමණි , එකලස් කිරීම නිවැරදිව බෙදා හැර ඇත.
නිකුතුවෙන් පසු පළමු පැය 3.5.8 තුළ “Python-12.tar.xz” ගොනුව බාගත කළ සියලුම පරිශීලකයින්ට චෙක්සම් (MD5 4464517ed6044bca4fc78ea9ed086c36) භාවිතයෙන් බාගත කළ දත්තවල නිවැරදි භාවය පරීක්ෂා කිරීමට උපදෙස් දෙනු ලැබේ. අවසාන නිකුතුව මෙන් නොව, පෙරදසුන් අනුවාදය ඇතුළත් නොවේ දුර්වලතා XML-RPC සේවාදායක කේතය තුළ. කෝණ වරහන ගැලවී යාමේ ඌනතාවය හේතුවෙන් සේවාදායකයේ_මාතෘකා ක්ෂේත්රය හරහා ජාවාස්ක්රිප්ට් එන්නත් කිරීමට (XSS) අවදානමට ඉඩ ලබා දී ඇත. යෙදුම පරිශීලක ආදානය මත පදනම්ව සේවාදායකයේ නම සකසන්නේ නම් ප්රහාරකයෙකුට JavaScript ආදේශනය ලබා ගත හැක (උදාහරණයක් ලෙස, “server.set_server_name(‘test’)”).
මූලාශ්රය: opennet.ru