pyLoad: ऑपरेटिंग सिस्टम कमांड में विशेष तत्वों का अनुचित न्यूट्रलाइजेशन

### सारांश `ADMIN_ONLY_OPTIONS` सुरक्षा तंत्र सुरक्षा-संवेदनशील कॉन्फ़िगरेशन मानों (रीकनेक्ट स्क्रिप्ट, एसएसएल सर्ट्स, प्रॉक्सी क्रेडेंशियल्स) को केवल व्यवस्थापक पहुंच तक सीमित करता है। हालाँकि, यह सुरक्षा केवल कोर कॉन्फ़िग विकल्पों पर लागू होती है, प्लगइन कॉन्फ़िग विकल्पों पर नहीं। `AntiVirus` प्लगइन अपने कॉन्फ़िग में एक निष्पादन योग्य पथ (`avfile`) संग्रहीत करता है, जिसे सीधे `subprocess.Popen()` में पास किया जाता है। SETTINGS अनुमति वाला एक गैर-व्यवस्थापक उपयोगकर्ता इस पथ को बदलकर रिमोट कोड निष्पादन प्राप्त कर सकता है। ### विवरण **सुरक्षित रैपर — `ADMIN_ONLY_OPTIONS` (core/api/__init__.py:225-235):** ```python ADMIN_ONLY_OPTIONS = { "reconnect.script", # स्क्रिप्ट पथ परिवर्तन को ब्लॉक करता है "webui.host", # बाइंड एड्रेस परिवर्तन को ब्लॉक करता है "ssl.cert_file", # सर्ट पथ परिवर्तन को ब्लॉक करता है "ssl.key_file", # की पथ परिवर्तन को ब्लॉक करता है # ... अन्य संवेदनशील विकल्प } ``` **जहां इसे लागू किया गया है — कोर कॉन्फ़िग (core/api/__init__.py:255):** ```python def set_config_value(self, section, option, value): if f"{section}.{option}" in ADMIN_ONLY_OPTIONS: if not self.user.is_admin: raise PermissionError("Admin only") # ... ``` **जहां इसे लागू नहीं किया गया है — प्लगइन कॉन्फ़िग