Foar in fergees ynhâldbehearsysteem , skreaun yn Python mei de Zope-applikaasjetsjinner, patches mei eliminaasje (CVE-identifikaasjes binne noch net tawiisd). De problemen beynfloedzje alle aktuele releases fan Plone, ynklusyf de release dy't in pear dagen lyn frijlitten is . De problemen binne pland om te reparearjen yn takomstige releases fan Plone 4.3.20, 5.1.7 en 5.2.2, foar publikaasje wêrfan it wurdt suggerearre om te brûken .
Identifisearre kwetsberens (details noch net bekend makke):
- Ferheging fan privileezjes troch manipulaasje fan 'e Rest API (ferskynt allinich as plone.restapi ynskeakele is);
- Ferfanging fan SQL-koade fanwegen net genôch ûntsnapping fan SQL-konstruksjes yn DTML en objekten foar ferbining mei de DBMS (it probleem is spesifyk foar en ferskynt yn oare applikaasjes basearre op it);
- De mooglikheid om ynhâld te herskriuwen troch manipulaasjes mei de PUT-metoade sûnder skriuwrjochten te hawwen;
- Iepenje trochferwizing yn it oanmeldformulier;
- Mooglikheid fan it oerdragen fan kweade eksterne keppelings dy't de isURLInPortal-kontrôle omgean;
- Wachtwurd sterkte kontrôle mislearret yn guon gefallen;
- Cross-site scripting (XSS) troch koadeferfanging yn it titelfjild.
Boarne: opennet.ru
