Pro bezplatný redakční systém , napsaný v Pythonu pomocí aplikačního serveru Zope, náplasti s eliminací (CVE identifikátory ještě nebyly přiděleny). Problémy se týkají všech aktuálních vydání Plone, včetně vydání vydaného před několika dny . Opravy těchto problémů se plánují v budoucích vydáních Plone 4.3.20, 5.1.7 a 5.2.2, před jejichž zveřejněním se doporučuje používat .
Zjištěná zranitelnost (podrobnosti dosud nebyly zveřejněny):
- Zvýšení oprávnění prostřednictvím manipulace s rozhraním Rest API (zobrazí se pouze tehdy, když je povolena funkce plone.restapi);
- Náhrada SQL kódu z důvodu nedostatečného escapování SQL konstrukcí v DTML a objektů pro připojení k DBMS (problém je specifický pro a objevuje se v dalších aplikacích, které jsou na něm založené);
- Schopnost přepisovat obsah pomocí manipulací s metodou PUT bez oprávnění k zápisu;
- Otevřete přesměrování v přihlašovacím formuláři;
- Možnost přenosu škodlivých externích odkazů obcházením kontroly isURLInPortal;
- Kontrola síly hesla v některých případech selže;
- Cross-site scripting (XSS) prostřednictvím nahrazení kódu v poli názvu.
Zdroj: opennet.ru