7 Ranjivosti u Plone sustavu za upravljanje sadržajem
Za besplatni sustav upravljanja sadržajem avion, napisano u Pythonu koristeći Zope aplikacijski poslužitelj, Objavljeno zakrpe s eliminacijom 7 ranjivosti (CVE identifikatori još nisu dodijeljeni). Problemi utječu na sva trenutna izdanja Plonea, uključujući izdanje objavljeno prije nekoliko dana 5.2.1. Problemi se planiraju riješiti u budućim izdanjima Plonea 4.3.20, 5.1.7 i 5.2.2, prije čijeg objavljivanja se predlaže korištenje hitni popravak.
Identificirane ranjivosti (pojedinosti još nisu otkrivene):
Povećanje privilegija kroz manipulaciju Rest API-ja (pojavljuje se samo kada je omogućen plone.restapi);
Zamjena SQL koda zbog nedovoljnog izbjegavanja SQL konstrukcija u DTML-u i objekata za povezivanje na DBMS (problem je specifičan za Zope i pojavljuje se u drugim aplikacijama koje se temelje na njemu);
Sposobnost ponovnog pisanja sadržaja kroz manipulacije metodom PUT bez prava pisanja;
Otvorite preusmjeravanje u obrascu za prijavu;
Mogućnost prijenosa zlonamjernih vanjskih poveznica zaobilazeći isURLInPortal provjeru;
Provjera snage lozinke ne uspijeva u nekim slučajevima;
Cross-site scripting (XSS) kroz zamjenu koda u polju naslova.