Für ein kostenloses Content-Management-System , geschrieben in Python unter Verwendung des Zope-Anwendungsservers, Patches mit Beseitigung (CVE-Kennungen wurden noch nicht zugewiesen). Die Probleme betreffen alle aktuellen Versionen von Plone, auch die vor einigen Tagen veröffentlichte Version . Es ist geplant, die Probleme in zukünftigen Versionen von Plone 4.3.20, 5.1.7 und 5.2.2 zu beheben, deren Verwendung vor der Veröffentlichung empfohlen wird .
Identifizierte Schwachstellen (Details noch nicht bekannt gegeben):
- Erhöhung von Berechtigungen durch Manipulation der Rest-API (erscheint nur, wenn plone.restapi aktiviert ist);
- Ersetzung von SQL-Code aufgrund unzureichender Escape-Funktion von SQL-Konstrukten in DTML und Objekten für die Verbindung zum DBMS (das Problem ist spezifisch für und erscheint in anderen darauf basierenden Anwendungen);
- Die Möglichkeit, Inhalte durch Manipulationen mit der PUT-Methode neu zu schreiben, ohne über Schreibrechte zu verfügen;
- Weiterleitung im Anmeldeformular öffnen;
- Möglichkeit der Übertragung schädlicher externer Links unter Umgehung der isURLInPortal-Prüfung;
- Die Überprüfung der Passwortstärke schlägt in einigen Fällen fehl;
- Cross-Site-Scripting (XSS) durch Code-Ersetzung im Titelfeld.
Source: opennet.ru