Pou yon sistèm jesyon kontni gratis , ekri an Python lè l sèvi avèk sèvè aplikasyon Zope, plak ak eliminasyon (Idantifyan CVE yo poko plase). Pwoblèm yo afekte tout degaje aktyèl Plone, ki gen ladan lage ki te pibliye kèk jou de sa . Pwoblèm yo te planifye pou yo fikse nan pwochen degaje Plone 4.3.20, 5.1.7 ak 5.2.2, anvan piblikasyon li sijere pou itilize. .
Idantifye vilnerabilite (detay yo poko divilge):
- Elevasyon privilèj atravè manipilasyon API Rest (parèt sèlman lè plone.restapi aktive);
- Ranplasman kòd SQL akòz ensifizan chape nan konstriksyon SQL nan DTML ak objè pou konekte ak DBMS la (pwoblèm nan se espesifik nan epi parèt nan lòt aplikasyon ki baze sou li);
- Kapasite pou reekri kontni atravè manipilasyon ak metòd PUT san yo pa gen dwa ekri;
- Louvri redireksyon nan fòm koneksyon an;
- Posiblite pou transmèt lyen ekstèn move kontoune chèk isURLInPortal;
- Verifikasyon fòs modpas echwe nan kèk ka;
- Cross-site scripting (XSS) atravè sibstitisyon kòd nan jaden tit la.
Sous: opennet.ru