Am system rheoli cynnwys am ddim awyren, wedi'i ysgrifennu yn Python gan ddefnyddio gweinydd cais Zope, cyhoeddi clytiau Γ’ dileu 7 bregusrwydd (Nid yw dynodwyr CVE wedi'u neilltuo eto). Mae'r problemau'n effeithio ar bob datganiad cyfredol o Plone, gan gynnwys y datganiad a ryddhawyd ychydig ddyddiau yn Γ΄l 5.2.1. Bwriedir i'r materion gael eu datrys mewn datganiadau o Plone 4.3.20, 5.1.7 a 5.2.2 yn y dyfodol, ac awgrymir defnyddio'r rhain cyn eu cyhoeddi. gosodiad cyflym.
Gwendidau a nodwyd (manylion heb eu datgelu eto):
Codi breintiau trwy drin yr API Rest (dim ond pan fydd plone.restapi wedi'i alluogi y mae'n ymddangos);
Amnewid cod SQL oherwydd diffyg dianc o luniadau SQL yn DTML a gwrthrychau ar gyfer cysylltu Γ’'r DBMS (mae'r broblem yn benodol i Zope ac yn ymddangos mewn cymwysiadau eraill sy'n seiliedig arno);
Y gallu i ailysgrifennu cynnwys trwy driniaethau Γ’'r dull PUT heb fod Γ’ hawliau ysgrifennu;
Agor ailgyfeirio yn y ffurflen mewngofnodi;
Posibilrwydd o drosglwyddo cysylltiadau allanol maleisus gan osgoi'r gwiriad isURLInPortal;
Gwiriad cryfder cyfrinair yn methu mewn rhai achosion;
Sgriptio traws-safle (XSS) trwy amnewid cod yn y maes teitl.