無料のコンテンツ管理システムの場合
特定された脆弱性 (詳細はまだ公開されていません):
- Rest API の操作による権限の昇格 (plone.restapi が有効な場合にのみ表示されます)。
- DTML 内の SQL 構造および DBMS に接続するためのオブジェクトのエスケープが不十分であるため、SQL コードが置き換えられます (問題は DBMS に固有のものです)。
ゾペ そしてそれをベースにした他のアプリケーションにも登場します); - 書き込み権限がなくても、PUT メソッドを使用した操作を通じてコンテンツを書き換える機能。
- ログインフォームでリダイレクトを開きます。
- isURLInPortal チェックをバイパスして悪意のある外部リンクを送信する可能性。
- 場合によっては、パスワード強度チェックが失敗することがあります。
- タイトル フィールドのコード置換によるクロスサイト スクリプティング (XSS)。
出所: オープンネット.ru