Msapiro

**Nome do software vulnerável e versões afetadas** Versões do GNU Mailman anteriores à 2.1.36 **Descrição** O problema está relacionado à restrição insuficiente das tentativas de autenticação no GNU Mailman, permitindo que um invasor remoto contorne a autenticação ao adivinhar a senha do administrador usando um método de força bruta. Especificamente, o token CSRF para a página Cgi/admindb.py admindb contém uma versão criptografada da senha de administrador da lista, que poderia ser potencialmente quebrada por um moderador por meio de um ataque de força bruta offline. **Recomendações** Para versões do GNU Mailman anteriores à 2.1.36, atualize para a versão 2.1.36 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à página Cgi/admindb.py admindb para minimizar o risco de exploração. Além disso, restrinja o uso da senha de administrador criptografada no token CSRF até que o problema seja resolvido.

**Name of the Vulnerable Software and Affected Versions** GNU Mailman versions prior to 2.1.20 **Description** The issue allows remote attackers to execute arbitrary files via a .. (dot dot) in a list name, when not using a static alias. **Recommendations** For GNU Mailman versions prior to 2.1.20, update to version 2.1.20 or later to resolve the issue.