Per un sistema di gestione di cuntenutu gratuitu , scrittu in Python cù u servitore di l'applicazioni Zope, patches cù eliminazione (L'identificatori CVE ùn sò micca stati ancu attribuiti). I prublemi affettanu tutte e versioni attuali di Plone, cumpresa a liberazione liberata pochi ghjorni fà . I prublemi sò previsti per esse risolti in future versioni di Plone 4.3.20, 5.1.7 è 5.2.2, prima di a publicazione di quale si suggerisce di utilizà .
Vulnerabilità identificate (dettaglii micca ancu divulgati):
- Elevazione di privilegi per a manipulazione di l'API Rest (appare solu quandu plone.restapi hè attivatu);
- Sustituzione di u codice SQL per via di una fuga insufficiente di e custruzzioni SQL in DTML è l'uggetti per a cunnessione à u DBMS (u prublema hè specificu à è appare in altre applicazioni basate nantu à questu);
- A capacità di riscrive u cuntenutu attraversu manipulazioni cù u metudu PUT senza avè diritti di scrittura;
- Open redirect in u furmulariu di login;
- A pussibilità di trasmette ligami esterni maliziusi bypassendu u cuntrollu isURLInPortal;
- U cuntrollu di forza di password falla in certi casi;
- Cross-site scripting (XSS) attraversu a sostituzione di codice in u campu di titulu.
Source: opennet.ru
