7 խոցելիություն Plone բովանդակության կառավարման համակարգում
Անվճար բովանդակության կառավարման համակարգի համար Պլոնե, գրված Python-ում՝ օգտագործելով Zope հավելվածի սերվերը, հրատարակված patches հետ վերացման 7 խոցելիություն (CVE նույնացուցիչները դեռ չեն նշանակվել): Խնդիրները վերաբերում են Plone-ի բոլոր ընթացիկ թողարկումներին, ներառյալ մի քանի օր առաջ թողարկված թողարկումը 5.2.1. Խնդիրները նախատեսվում է շտկել Plone 4.3.20, 5.1.7 և 5.2.2 հետագա թողարկումներում, որոնց հրապարակումից առաջ առաջարկվում է օգտագործել փոփոխություն.
Հայտնաբերված խոցելիությունները (մանրամասները դեռ չեն բացահայտվել).
Արտոնությունների բարձրացում Rest API-ի մանիպուլյացիայի միջոցով (հայտնվում է միայն այն ժամանակ, երբ plone.restapi-ն միացված է);
SQL կոդի փոխարինում DTML-ում SQL կոնստրուկցիաների և DBMS-ին միանալու օբյեկտների անբավարար փախուստի պատճառով (խնդիրը հատուկ է. Zope և հայտնվում է դրա հիման վրա այլ հավելվածներում);
PUT մեթոդով մանիպուլյացիաների միջոցով բովանդակությունը վերագրելու ունակություն՝ առանց գրելու իրավունք ունենալու.
Բացեք վերահղումը մուտքի ձևով;
isURLInPortal ստուգումը շրջանցելով վնասակար արտաքին հղումների փոխանցման հնարավորությունը;
Գաղտնաբառի ամրության ստուգումը որոշ դեպքերում ձախողվում է.
Cross-site scripting (XSS) վերնագրի դաշտում ծածկագրի փոխարինման միջոցով: