Por un sistema de gestión de contenidos gratuito , escrito en Python usando el servidor de aplicaciones Zope, parches con eliminación (Aún no se han asignado identificadores CVE). Los problemas afectan a todas las versiones actuales de Plone, incluida la versión lanzada hace unos días. . Está previsto que los problemas se solucionen en futuras versiones de Plone 4.3.20, 5.1.7 y 5.2.2, antes de su publicación se sugiere utilizar .
Vulnerabilidades identificadas (detalles aún no revelados):
- Elevación de privilegios mediante la manipulación de Rest API (aparece solo cuando plone.restapi está habilitado);
- Sustitución de código SQL debido a un escape insuficiente de construcciones SQL en DTML y objetos para conectarse al DBMS (el problema es específico de y aparece en otras aplicaciones basadas en él);
- La capacidad de reescribir contenido mediante manipulaciones con el método PUT sin tener derechos de escritura;
- Abra la redirección en el formulario de inicio de sesión;
- Posibilidad de transmitir enlaces externos maliciosos sin pasar por el control isURLInPortal;
- La comprobación de la seguridad de la contraseña falla en algunos casos;
- Secuencias de comandos entre sitios (XSS) mediante sustitución de código en el campo de título.
Fuente: opennet.ru