Ilmaiseen sisällönhallintajärjestelmään , kirjoitettu Pythonissa käyttämällä Zope-sovelluspalvelinta, laastarit eliminaatiolla (CVE-tunnisteita ei ole vielä määritetty). Ongelmat vaikuttavat kaikkiin Plonen nykyisiin julkaisuihin, mukaan lukien muutama päivä sitten julkaistu julkaisu . Ongelmat on tarkoitus korjata tulevissa Plone 4.3.20, 5.1.7 ja 5.2.2 julkaisuissa, joita suositellaan käytettäväksi ennen julkaisua .
Tunnistetut haavoittuvuudet (yksityiskohtia ei vielä julkistettu):
- Oikeuksien korottaminen Rest API:n manipuloinnin avulla (näkyy vain, kun plone.restapi on käytössä);
- SQL-koodin korvaaminen johtuen riittämättömästä DTML:n SQL-konstruktioiden ja DBMS-järjestelmään yhteyden muodostamiseen liittyvien objektien poistosta (ongelma koskee erityisesti ja näkyy muissa siihen perustuvissa sovelluksissa);
- Mahdollisuus kirjoittaa sisältöä uudelleen manipuloimalla PUT-menetelmällä ilman kirjoitusoikeuksia;
- Avaa uudelleenohjaus kirjautumislomakkeessa;
- Mahdollisuus lähettää haitallisia ulkoisia linkkejä ohittaen isURLInPortal-tarkistuksen;
- Salasanan vahvuuden tarkistus epäonnistuu joissakin tapauksissa;
- Cross-site scripting (XSS) koodin korvaamisen kautta otsikkokentässä.
Lähde: opennet.ru