Tasuta sisuhaldussüsteemi jaoks , kirjutatud Pythonis, kasutades Zope'i rakendusserverit, plaastrid koos eliminatsiooniga (CVE identifikaatorid pole veel määratud). Probleemid mõjutavad kõiki Plone praeguseid väljalaseid, sealhulgas paar päeva tagasi välja antud versiooni . Probleemid on plaanis lahendada Plone 4.3.20, 5.1.7 ja 5.2.2 tulevastes versioonides, mille avaldamise eel on soovitatav kasutada .
Tuvastatud haavatavused (üksikasju pole veel avaldatud):
- Privileegide suurendamine Rest API-ga manipuleerimise kaudu (ilmub ainult siis, kui plone.restapi on lubatud);
- SQL-koodi asendamine SQL-i konstruktsioonide ebapiisava põgenemise tõttu DTML-is ja DBMS-iga ühenduse loomise objektide tõttu (probleem on spetsiifiline ja ilmub teistes sellel põhinevates rakendustes);
- Võimalus sisu ümber kirjutada manipulatsioonide abil PUT-meetodiga ilma kirjutamisõigusi omamata;
- Ava ümbersuunamine sisselogimisvormis;
- Pahatahtlike välislinkide edastamise võimalus isURLInPortali kontrollist mööda minnes;
- Parooli tugevuse kontroll mõnel juhul ebaõnnestub;
- Saididevaheline skriptimine (XSS) pealkirjaväljal oleva koodi asendamise kaudu.
Allikas: opennet.ru