Pulsuz məzmun idarəetmə sistemi üçün təyyarə, Zope proqram serverindən istifadə edərək Python dilində yazılmış, nəşr olundu aradan qaldırılması ilə yamaqlar 7 zəiflik (CVE identifikatorları hələ təyin edilməyib). Problemlər Plone-un bütün cari buraxılışlarına, o cümlədən bir neçə gün əvvəl buraxılmış buraxılışa təsir edir 5.2.1. Məsələlərin Plone 4.3.20, 5.1.7 və 5.2.2-nin gələcək buraxılışlarında həll edilməsi planlaşdırılır, dərc edilməzdən əvvəl istifadə edilməsi tövsiyə olunur. düzeltme.
Müəyyən edilmiş zəifliklər (təfərrüatlar hələ açıqlanmır):
Rest API ilə manipulyasiya yolu ilə imtiyazların yüksəldilməsi (yalnız plone.restapi aktiv olduqda görünür);
DTML-də SQL konstruksiyalarından və DBMS-ə qoşulmaq üçün obyektlərdən kifayət qədər qaçmaması səbəbindən SQL kodunun dəyişdirilməsi (problem xüsusi olaraq Zope və ona əsaslanan digər proqramlarda görünür);
Yazma hüququ olmadan PUT metodu ilə manipulyasiyalar vasitəsilə məzmunu yenidən yazmaq imkanı;
Giriş formasında yönləndirməni açın;
isURLInPortal yoxlamasından yan keçərək zərərli xarici keçidlərin ötürülməsi imkanı;
Parolun gücü yoxlanışı bəzi hallarda uğursuz olur;
Başlıq sahəsində kodun dəyişdirilməsi ilə saytlar arası skript (XSS).