Tokollo e lokisoang ea tsamaiso ea poso ea GNU Mailman 2.1.35 e hatisitsoe, e sebelisetsoang ho hlophisa puisano pakeng tsa baetsi ba merero e mengata e bulehileng. Ntlafatso e sebetsana le likotsi tse peli: Kotsi ea pele (CVE-2021-42096) e lumella mosebelisi e mong le e mong ea ngolisitseng lethathamong la mangolo ho fumana phasewete ea admin bakeng sa lenane leo la mangolo. Kotsi ea bobeli (CVE-2021-42097) e etsa hore ho khonehe ho etsa tlhaselo ea CSRF ho mosebelisi e mong oa lethathamo la mangolo ho hapa ak'haonte ea hae. Tlhaselo e ka etsoa feela ke setho se ngolisitseng lethathamong la mangolo. Mailman 3 ha a amehe ka taba ena.
Mathata ana ka bobeli a bakoa ke taba ea hore boleng ba csrf_token bo sebelisetsoang ho sireletsa khahlanong le litlhaselo tsa CSRF leqepheng la likhetho li lula li tšoana le tokene ea motsamaisi, 'me ha e hlahisoe ka thoko bakeng sa mosebelisi oa seboka sa hajoale. Ha o hlahisa csrf_token, tlhahisoleseling e mabapi le hash ea password ea motsamaisi e sebelisoa, e nolofatsang boikemisetso ba password ka matla a sehlōhō. Kaha csrf_token e etselitsoeng mosebelisi e mong e boetse e loketse mosebelisi e mong, mohlaseli a ka etsa leqephe leo, ha le buloa ke mosebelisi e mong, le ka etsang hore litaelo li phethoe ka har'a sebopeho sa Mailman molemong oa mosebelisi enoa mme a fumane taolo ea akhaonto ea hae.
Source: opennet.ru