Untuk sistem manajemen konten gratis , ditulis dengan Python menggunakan server aplikasi Zope, tambalan dengan eliminasi (Pengidentifikasi CVE belum ditetapkan). Masalah ini mempengaruhi semua rilis Plone saat ini, termasuk rilis yang dirilis beberapa hari lalu . Masalah ini direncanakan untuk diperbaiki pada rilis Plone 4.3.20, 5.1.7 dan 5.2.2 yang akan datang, sebelum dipublikasikan disarankan untuk menggunakan .
Kerentanan yang teridentifikasi (detailnya belum diungkapkan):
- Peningkatan hak istimewa melalui manipulasi Rest API (hanya muncul ketika plone.restapi diaktifkan);
- Pergantian kode SQL karena tidak cukupnya pelolosan konstruksi SQL di DTML dan objek untuk menghubungkan ke DBMS (masalahnya khusus untuk dan muncul di aplikasi lain berdasarkan itu);
- Kemampuan untuk menulis ulang konten melalui manipulasi dengan metode PUT tanpa memiliki hak menulis;
- Buka pengalihan di formulir login;
- Kemungkinan mengirimkan tautan eksternal berbahaya dengan melewati pemeriksaan isURLInPortal;
- Pemeriksaan kekuatan kata sandi gagal dalam beberapa kasus;
- Skrip lintas situs (XSS) melalui substitusi kode di bidang judul.
Sumber: opennet.ru