Անվճար բովանդակության կառավարման համակարգի համար , գրված Python-ում՝ օգտագործելով Zope հավելվածի սերվերը, patches հետ վերացման (CVE նույնացուցիչները դեռ չեն նշանակվել): Խնդիրները վերաբերում են Plone-ի բոլոր ընթացիկ թողարկումներին, ներառյալ մի քանի օր առաջ թողարկված թողարկումը . Խնդիրները նախատեսվում է շտկել Plone 4.3.20, 5.1.7 և 5.2.2 հետագա թողարկումներում, որոնց հրապարակումից առաջ առաջարկվում է օգտագործել .
Հայտնաբերված խոցելիությունները (մանրամասները դեռ չեն բացահայտվել).
- Արտոնությունների բարձրացում Rest API-ի մանիպուլյացիայի միջոցով (հայտնվում է միայն այն ժամանակ, երբ plone.restapi-ն միացված է);
- SQL կոդի փոխարինում DTML-ում SQL կոնստրուկցիաների և DBMS-ին միանալու օբյեկտների անբավարար փախուստի պատճառով (խնդիրը հատուկ է. և հայտնվում է դրա հիման վրա այլ հավելվածներում);
- PUT մեթոդով մանիպուլյացիաների միջոցով բովանդակությունը վերագրելու ունակություն՝ առանց գրելու իրավունք ունենալու.
- Բացեք վերահղումը մուտքի ձևով;
- isURLInPortal ստուգումը շրջանցելով վնասակար արտաքին հղումների փոխանցման հնարավորությունը;
- Գաղտնաբառի ամրության ստուգումը որոշ դեպքերում ձախողվում է.
- Cross-site scripting (XSS) վերնագրի դաշտում ծածկագրի փոխարինման միջոցով:
Source: opennet.ru