Am system rheoli cynnwys am ddim , wedi'i ysgrifennu yn Python gan ddefnyddio gweinydd cais Zope, clytiau Γ’ dileu (Nid yw dynodwyr CVE wedi'u neilltuo eto). Mae'r problemau'n effeithio ar bob datganiad cyfredol o Plone, gan gynnwys y datganiad a ryddhawyd ychydig ddyddiau yn Γ΄l . Bwriedir i'r materion gael eu datrys mewn datganiadau o Plone 4.3.20, 5.1.7 a 5.2.2 yn y dyfodol, ac awgrymir defnyddio'r rhain cyn eu cyhoeddi. .
Gwendidau a nodwyd (manylion heb eu datgelu eto):
- Codi breintiau trwy drin yr API Rest (dim ond pan fydd plone.restapi wedi'i alluogi y mae'n ymddangos);
- Amnewid cod SQL oherwydd diffyg dianc o luniadau SQL yn DTML a gwrthrychau ar gyfer cysylltu Γ’'r DBMS (mae'r broblem yn benodol i ac yn ymddangos mewn cymwysiadau eraill sy'n seiliedig arno);
- Y gallu i ailysgrifennu cynnwys trwy driniaethau Γ’'r dull PUT heb fod Γ’ hawliau ysgrifennu;
- Agor ailgyfeirio yn y ffurflen mewngofnodi;
- Posibilrwydd o drosglwyddo cysylltiadau allanol maleisus gan osgoi'r gwiriad isURLInPortal;
- Gwiriad cryfder cyfrinair yn methu mewn rhai achosion;
- Sgriptio traws-safle (XSS) trwy amnewid cod yn y maes teitl.
Ffynhonnell: opennet.ru