Za besplatni sustav za upravljanje sadržajem , napisan u Pythonu korištenjem Zope aplikacijskog poslužitelja, flasteri s eliminacijom (CVE identifikatori još nisu dodijeljeni.) Problemi utječu na sva trenutna izdanja Plonea, uključujući i ono objavljeno prije nekoliko dana. Planirano je da se problemi isprave u budućim izdanjima Plonea 4.3.20, 5.1.7 i 5.2.2, do kada se preporučuje korištenje .
Identificirane ranjivosti (detalji još nisu objavljeni):
- Eskalacija privilegija putem manipulacije Rest API-jem (događa se samo kada je omogućen plone.restapi);
- SQL zamjena zbog nedovoljnog izbjegavanja SQL konstrukata u DTML i DBMS objektima povezivanja (problem specifičan za i pojavljuje se u drugim aplikacijama temeljenim na njemu);
- Mogućnost prepisivanja sadržaja manipuliranjem PUT metodom bez prava pisanja;
- Otvori preusmjeravanje u obrascu za prijavu;
- Mogućnost prenošenja zlonamjernih vanjskih poveznica zaobilazeći provjeru isURLInPortal-a;
- Provjera jačine lozinke u nekim slučajevima ne uspije;
- Međusejstno skriptiranje (XSS) putem zamjene koda u polju zaglavlja.
Izvor: opennet.ru
