Para un sistema de xestión de contidos gratuíto , escrito en Python usando o servidor de aplicacións Zope, parches con eliminación (Aínda non se asignaron os identificadores CVE). Os problemas afectan a todas as versións actuais de Plone, incluída a versión publicada hai uns días . Está previsto que os problemas se solucionen en futuras versións de Plone 4.3.20, 5.1.7 e 5.2.2, antes da publicación dos cales se suxire utilizar .
Vulnerabilidades identificadas (detalles aínda non revelados):
- Elevación de privilexios mediante a manipulación da API Rest (aparece só cando plone.restapi está activado);
- Substitución de código SQL debido a un escape insuficiente de construcións SQL en DTML e obxectos para conectarse ao DBMS (o problema é específico de e aparece noutras aplicacións baseadas nel);
- A capacidade de reescribir contido mediante manipulacións co método PUT sen ter dereitos de escritura;
- Abre a redirección no formulario de inicio de sesión;
- Posibilidade de transmitir ligazóns externas maliciosas evitando a comprobación isURLInPortal;
- Nalgúns casos, a verificación de seguridade do contrasinal falla;
- Cross-site scripting (XSS) mediante a substitución de código no campo do título.
Fonte: opennet.ru