Ingyenes tartalomkezelő rendszerhez , Pythonban írva a Zope alkalmazásszerver segítségével, foltok eliminációval (CVE azonosítók még nincsenek hozzárendelve). A problémák a Plone összes jelenlegi kiadását érintik, beleértve a néhány nappal ezelőtti kiadást is . A problémákat a tervek szerint a Plone 4.3.20, 5.1.7 és 5.2.2 jövőbeli kiadásaiban javítják ki, amelyek megjelenése előtt javasolt a használata .
Azonosított sebezhetőségek (a részleteket még nem hozták nyilvánosságra):
- Jogosultságok növelése a Rest API manipulálásával (csak akkor jelenik meg, ha a plone.restapi engedélyezve van);
- Az SQL kód helyettesítése a DTML-ben lévő SQL-konstrukciók és a DBMS-hez való csatlakozáshoz szükséges objektumok elégtelen kilépése miatt (a probléma specifikus és ez alapján más alkalmazásokban is megjelenik);
- A tartalom újraírásának lehetősége a PUT metódussal végzett manipulációkkal írási jogok nélkül;
- Nyissa meg az átirányítást a bejelentkezési űrlapon;
- Rosszindulatú külső hivatkozások továbbításának lehetősége az isURLInPortal ellenőrzést megkerülve;
- A jelszó erősségének ellenőrzése bizonyos esetekben sikertelen;
- Helyek közötti szkriptelés (XSS) a cím mezőben található kód helyettesítésével.
Forrás: opennet.ru