Doako edukiak kudeatzeko sistema baterako , Python-en idatzita Zope aplikazio zerbitzaria erabiliz, ezabaketa duten adabakiak (CVE identifikatzaileak ez dira oraindik esleitu). Arazoek Ploneren egungo bertsio guztietan eragiten dute, duela egun batzuk kaleratutako oharra barne . Arazoak Plone 4.3.20, 5.1.7 eta 5.2.2 bertsioen etorkizuneko bertsioetan konpontzea aurreikusita dago, argitaratu aurretik erabiltzea gomendatzen da. .
Identifikatutako ahuleziak (oraindik ezagutarazi gabeko xehetasunak):
- Pribilegioen igoera Rest APIaren manipulazioaren bidez (plone.restapi gaituta dagoenean bakarrik agertzen da);
- SQL kodea ordezkatzea DTMLko SQL eraikuntzak eta DBMSra konektatzeko objektuak nahikoa ihes egiteagatik (arazoa berariazkoa da. eta horretan oinarritutako beste aplikazio batzuetan agertzen da);
- PUT metodoarekin manipulazioen bidez edukia berridazteko gaitasuna idazketa eskubiderik izan gabe;
- Ireki birzuzenketa saioa hasteko formularioan;
- IsURLInPortal egiaztapena saihestuz kanpoko esteka gaiztoak transmititzeko aukera;
- Pasahitzaren sendotasuna egiaztatzeak huts egiten du kasu batzuetan;
- Cross-site scripting (XSS) izenburuaren eremuan kodea ordezkatuz.
Iturria: opennet.ru