Fyrir ókeypis vefumsjónarkerfi , skrifað í Python með Zope forritaþjóninum, plástrar með brotthvarfi (CVE auðkenni hefur ekki enn verið úthlutað). Vandamálin hafa áhrif á allar núverandi útgáfur af Plone, þar á meðal útgáfuna sem kom út fyrir nokkrum dögum . Stefnt er að því að laga vandamálin í framtíðarútgáfum Plone 4.3.20, 5.1.7 og 5.2.2, áður en þær verða birtar sem mælt er með að nota .
Greint varnarleysi (upplýsingar ekki enn gefnar upp):
- Hækkun réttinda með því að nota Rest API (birtist aðeins þegar plone.restapi er virkt);
- Skipting á SQL kóða vegna ófullnægjandi sleppa af SQL smíðum í DTML og hlutum til að tengjast við DBMS (vandamálið er sérstakt fyrir og birtist í öðrum forritum sem byggjast á því);
- Hæfni til að endurskrifa efni með notkun með PUT aðferðinni án þess að hafa skrifréttindi;
- Opna tilvísun í innskráningarforminu;
- Möguleiki á að senda skaðlega ytri tengla framhjá isURLInPortal athuguninni;
- Athugun á styrkleika lykilorðs mistekst í sumum tilfellum;
- Cross-site scripting (XSS) með kóðaskiptum í titilreitnum.
Heimild: opennet.ru