Για ένα δωρεάν σύστημα διαχείρισης περιεχομένου , γραμμένο σε Python χρησιμοποιώντας τον διακομιστή εφαρμογών Zope, μπαλώματα με εξάλειψη (Τα αναγνωριστικά CVE δεν έχουν ακόμη εκχωρηθεί). Τα προβλήματα επηρεάζουν όλες τις τρέχουσες εκδόσεις του Plone, συμπεριλαμβανομένης της κυκλοφορίας που κυκλοφόρησε πριν από λίγες ημέρες . Τα ζητήματα σχεδιάζεται να διορθωθούν σε μελλοντικές εκδόσεις των Plone 4.3.20, 5.1.7 και 5.2.2, πριν από τη δημοσίευση των οποίων προτείνεται η χρήση .
Προσδιορισμένα τρωτά σημεία (λεπτομέρειες δεν έχουν ακόμη αποκαλυφθεί):
- Ανύψωση των προνομίων μέσω χειρισμού του Rest API (εμφανίζεται μόνο όταν είναι ενεργοποιημένο το plone.restapi).
- Αντικατάσταση κώδικα SQL λόγω ανεπαρκούς διαφυγής δομών SQL στο DTML και αντικειμένων για σύνδεση στο DBMS (το πρόβλημα αφορά συγκεκριμένα και εμφανίζεται σε άλλες εφαρμογές που βασίζονται σε αυτό).
- Δυνατότητα επανεγγραφής περιεχομένου μέσω χειρισμών με τη μέθοδο PUT χωρίς δικαιώματα εγγραφής.
- Ανοίξτε την ανακατεύθυνση στη φόρμα σύνδεσης.
- Δυνατότητα μετάδοσης κακόβουλων εξωτερικών συνδέσμων παρακάμπτοντας τον έλεγχο isURLInPortal.
- Ο έλεγχος ισχύος κωδικού πρόσβασης αποτυγχάνει σε ορισμένες περιπτώσεις.
- Διασταυρούμενη δέσμη ενεργειών (XSS) μέσω αντικατάστασης κώδικα στο πεδίο τίτλου.
Πηγή: opennet.ru