Per un sistema di gestione dei contenuti gratuito , scritto in Python utilizzando il server delle applicazioni Zope, patch con eliminazione (Gli identificatori CVE non sono ancora stati assegnati). I problemi riguardano tutte le versioni attuali di Plone, inclusa la versione rilasciata pochi giorni fa . Si prevede che i problemi vengano risolti nelle future versioni di Plone 4.3.20, 5.1.7 e 5.2.2, prima della pubblicazione delle quali si suggerisce di utilizzare .
Vulnerabilità identificate (dettagli non ancora divulgati):
- Elevazione dei privilegi attraverso la manipolazione dell'API Rest (appare solo quando plone.restapi è abilitato);
- Sostituzione del codice SQL a causa dell'escape insufficiente dei costrutti SQL in DTML e degli oggetti per la connessione al DBMS (il problema è specifico di e appare in altre applicazioni basate su di esso);
- La possibilità di riscrivere il contenuto attraverso manipolazioni con il metodo PUT senza avere diritti di scrittura;
- Apri il reindirizzamento nel modulo di accesso;
- Possibilità di trasmettere link esterni dannosi aggirando il controllo isURLInPortal;
- In alcuni casi il controllo della sicurezza della password fallisce;
- Cross-site scripting (XSS) tramite sostituzione del codice nel campo del titolo.
Fonte: opennet.ru