Pour un système de gestion de contenu gratuit , écrit en Python à l'aide du serveur d'applications Zope, patchs avec élimination (Les identifiants CVE n'ont pas encore été attribués). Les problèmes affectent toutes les versions actuelles de Plone, y compris la version publiée il y a quelques jours. . Il est prévu que ces problèmes soient résolus dans les prochaines versions de Plone 4.3.20, 5.1.7 et 5.2.2, avant la publication desquelles il est suggéré d'utiliser .
Vulnérabilités identifiées (détails non encore divulgués) :
- Élévation des privilèges via la manipulation de l'API Rest (apparaît uniquement lorsque plone.restapi est activé) ;
- Substitution du code SQL en raison d'un échappement insuffisant des constructions SQL dans DTML et des objets de connexion au SGBD (le problème est spécifique à et apparaît dans d'autres applications basées sur celui-ci );
- La possibilité de réécrire le contenu grâce à des manipulations avec la méthode PUT sans avoir de droits d'écriture ;
- Ouvrez la redirection dans le formulaire de connexion ;
- Possibilité de transmettre des liens externes malveillants en contournant la vérification isURLInPortal ;
- La vérification de la force du mot de passe échoue dans certains cas ;
- Cross-site scripting (XSS) via substitution de code dans le champ de titre.
Source: opennet.ru