For et gratis indholdsstyringssystem , skrevet i Python ved hjælp af Zope-applikationsserveren, plastre med eliminering (CVE identifikatorer er endnu ikke blevet tildelt). Problemerne påvirker alle aktuelle udgivelser af Plone, inklusive udgivelsen, der blev udgivet for et par dage siden . Problemerne er planlagt til at blive rettet i fremtidige udgivelser af Plone 4.3.20, 5.1.7 og 5.2.2, før offentliggørelse, som det foreslås at bruge .
Identificerede sårbarheder (detaljer endnu ikke offentliggjort):
- Forhøjelse af privilegier gennem manipulation af Rest API (vises kun, når plone.restapi er aktiveret);
- Substitution af SQL-kode på grund af utilstrækkelig escape af SQL-konstruktioner i DTML og objekter til at oprette forbindelse til DBMS (problemet er specifikt for og vises i andre applikationer baseret på det);
- Evnen til at omskrive indhold gennem manipulationer med PUT-metoden uden at have skriverettigheder;
- Åbn omdirigering i login-formularen;
- Mulighed for at sende ondsindede eksterne links uden om isURLInPortal-kontrollen;
- Kontrol af adgangskodestyrke mislykkes i nogle tilfælde;
- Cross-site scripting (XSS) gennem kodesubstitution i titelfeltet.
Kilde: opennet.ru