Za besplatni sustav upravljanja sadržajem , napisano u Pythonu koristeći Zope aplikacijski poslužitelj, zakrpe s eliminacijom (CVE identifikatori još nisu dodijeljeni). Problemi utječu na sva trenutna izdanja Plonea, uključujući izdanje objavljeno prije nekoliko dana . Problemi se planiraju riješiti u budućim izdanjima Plonea 4.3.20, 5.1.7 i 5.2.2, prije čijeg objavljivanja se predlaže korištenje .
Identificirane ranjivosti (pojedinosti još nisu otkrivene):
- Povećanje privilegija kroz manipulaciju Rest API-ja (pojavljuje se samo kada je omogućen plone.restapi);
- Zamjena SQL koda zbog nedovoljnog izbjegavanja SQL konstrukcija u DTML-u i objekata za povezivanje na DBMS (problem je specifičan za i pojavljuje se u drugim aplikacijama koje se temelje na njemu);
- Sposobnost ponovnog pisanja sadržaja kroz manipulacije metodom PUT bez prava pisanja;
- Otvorite preusmjeravanje u obrascu za prijavu;
- Mogućnost prijenosa zlonamjernih vanjskih poveznica zaobilazeći isURLInPortal provjeru;
- Provjera snage lozinke ne uspijeva u nekim slučajevima;
- Cross-site scripting (XSS) kroz zamjenu koda u polju naslova.
Izvor: opennet.ru