Pro bezplatný redakční systém letadlo, napsaný v Pythonu pomocí aplikačního serveru Zope, zveřejněno náplasti s eliminací 7 zranitelností (CVE identifikátory ještě nebyly přiděleny). Problémy se týkají všech aktuálních vydání Plone, včetně vydání vydaného před několika dny 5.2.1. Opravy těchto problémů se plánují v budoucích vydáních Plone 4.3.20, 5.1.7 a 5.2.2, před jejichž zveřejněním se doporučuje používat opravu hotfix.
Zjištěná zranitelnost (podrobnosti dosud nebyly zveřejněny):
Zvýšení oprávnění prostřednictvím manipulace s rozhraním Rest API (zobrazí se pouze tehdy, když je povolena funkce plone.restapi);
Náhrada SQL kódu z důvodu nedostatečného escapování SQL konstrukcí v DTML a objektů pro připojení k DBMS (problém je specifický pro Zope a objevuje se v dalších aplikacích, které jsou na něm založené);
Schopnost přepisovat obsah pomocí manipulací s metodou PUT bez oprávnění k zápisu;
Otevřete přesměrování v přihlašovacím formuláři;
Možnost přenosu škodlivých externích odkazů obcházením kontroly isURLInPortal;
Kontrola síly hesla v některých případech selže;
Cross-site scripting (XSS) prostřednictvím nahrazení kódu v poli názvu.