Опубликован корректирующий релиз системы управления почтовыми рассылками GNU Mailman 2.1.35, используемой для организации общения разработчиков в разнообразных открытых проектах. В обновлении устранены две уязвимости: Первая уязвимость (CVE-2021-42096) позволяет любому пользователю, подписанному на рассылку, определить пароль администратора данного списка рассылки. Вторая уязвимость (CVE-2021-42097) даёт возможность совершить CSRF-атаку на другого пользователя рассылки для захвата его учётной записи. Атака может быть совершена только подписанным участником рассылки. Продукт Mailman 3 проблеме не подвержен.
Обе проблемы вызваны тем, что значение csrf_token, применяемое для защиты от CSRF-атак на странице с настройками (“options”), всегда совпадает с токеном администратора, а не формируется отдельно для пользователя текущего сеанса. При формировании csrf_token используется информация о хэше пароля, что приводит к существенному снижению стойкости пароля от определения методом перебора. Так как csrf_token, созданный для одного пользователя подходит и другому пользователю, атакующий может сформировать страницу при открытии которой выполнить команды от имени другого пользователя и получить управление его учётной записью.