لنظام إدارة محتوى مجاني ، مكتوبة بلغة بايثون باستخدام خادم تطبيق Zope، بقع مع القضاء (لم يتم تعيين معرفات CVE بعد). تؤثر المشاكل على جميع الإصدارات الحالية من Plone، بما في ذلك الإصدار الذي تم إصداره قبل بضعة أيام . من المقرر إصلاح المشكلات في الإصدارات المستقبلية من Plone 4.3.20 و5.1.7 و5.2.2، والتي يُقترح استخدامها قبل نشرها .
نقاط الضعف التي تم تحديدها (لم يتم الكشف عن التفاصيل بعد):
- رفع الامتيازات من خلال معالجة Rest API (يظهر فقط عند تمكين plone.restapi)؛
- استبدال كود SQL بسبب عدم كفاية الهروب من بنيات SQL في DTML والكائنات للاتصال بنظام إدارة قواعد البيانات (المشكلة خاصة بـ ويظهر في التطبيقات الأخرى بناءً عليه)؛
- القدرة على إعادة كتابة المحتوى من خلال المعالجة باستخدام طريقة PUT دون الحصول على حقوق الكتابة؛
- فتح إعادة التوجيه في نموذج تسجيل الدخول؛
- إمكانية إرسال روابط خارجية ضارة تتجاوز فحص isURLInPortal؛
- يفشل التحقق من قوة كلمة المرور في بعض الحالات؛
- البرمجة النصية عبر المواقع (XSS) من خلال استبدال التعليمات البرمجية في حقل العنوان.
المصدر: opennet.ru