Pulsuz məzmun idarəetmə sistemi üçün , Zope proqram serverindən istifadə edərək Python dilində yazılmış, aradan qaldırılması ilə yamaqlar (CVE identifikatorları hələ təyin edilməyib). Problemlər Plone-un bütün cari buraxılışlarına, o cümlədən bir neçə gün əvvəl buraxılmış buraxılışa təsir edir . Məsələlərin Plone 4.3.20, 5.1.7 və 5.2.2-nin gələcək buraxılışlarında həll edilməsi planlaşdırılır, dərc edilməzdən əvvəl istifadə edilməsi tövsiyə olunur. .
Müəyyən edilmiş zəifliklər (təfərrüatlar hələ açıqlanmır):
- Rest API ilə manipulyasiya yolu ilə imtiyazların yüksəldilməsi (yalnız plone.restapi aktiv olduqda görünür);
- DTML-də SQL konstruksiyalarından və DBMS-ə qoşulmaq üçün obyektlərdən kifayət qədər qaçmaması səbəbindən SQL kodunun dəyişdirilməsi (problem xüsusi olaraq və ona əsaslanan digər proqramlarda görünür);
- Yazma hüququ olmadan PUT metodu ilə manipulyasiyalar vasitəsilə məzmunu yenidən yazmaq imkanı;
- Giriş formasında yönləndirməni açın;
- isURLInPortal yoxlamasından yan keçərək zərərli xarici keçidlərin ötürülməsi imkanı;
- Parolun gücü yoxlanışı bəzi hallarda uğursuz olur;
- Başlıq sahəsində kodun dəyişdirilməsi ilə saytlar arası skript (XSS).
Mənbə: opennet.ru
