برای یک سیستم مدیریت محتوای رایگان ، در پایتون با استفاده از سرور برنامه Zope نوشته شده است، تکه های با حذف (شناسه های CVE هنوز اختصاص داده نشده اند). این مشکلات بر تمام نسخههای فعلی Plone، از جمله نسخهای که چند روز پیش منتشر شد، تأثیر میگذارد . برنامه ریزی شده است که این مشکلات در نسخه های بعدی Plone 4.3.20، 5.1.7 و 5.2.2 برطرف شود، که قبل از انتشار پیشنهاد می شود از آنها استفاده کنید. .
آسیب پذیری های شناسایی شده (جزئیات هنوز فاش نشده است):
- افزایش امتیازات از طریق دستکاری Rest API (فقط زمانی ظاهر می شود که plone.restapi فعال باشد).
- جایگزینی کد SQL به دلیل فرار ناکافی ساختارهای SQL در DTML و اشیاء برای اتصال به DBMS (مشکل مربوط به و بر اساس آن در سایر برنامه ها ظاهر می شود).
- امکان بازنویسی محتوا از طریق دستکاری با روش PUT بدون داشتن حقوق نوشتن.
- تغییر مسیر را در فرم ورود باز کنید.
- امکان انتقال لینک های مخرب خارجی با دور زدن چک isURLInPortal;
- بررسی قدرت رمز عبور در برخی موارد با شکست مواجه می شود.
- برنامه نویسی متقابل سایت (XSS) از طریق جایگزینی کد در قسمت عنوان.
منبع: opennet.ru