Kanggo sistem manajemen konten gratis , ditulis nganggo Python nggunakake server aplikasi Zope, patch karo eliminasi (Identifikasi CVE durung diwenehi). Masalah kasebut mengaruhi kabeh rilis Plone saiki, kalebu rilis sing dirilis sawetara dina kepungkur . Masalah kasebut direncanakake bakal didandani ing rilis mangsa Plone 4.3.20, 5.1.7 lan 5.2.2, sadurunge diterbitake sing disaranake nggunakake .
Kerentanan sing diidentifikasi (detail durung diungkapake):
- Elevasi hak istimewa liwat manipulasi saka Rest API (katon mung nalika plone.restapi diaktifake);
- Substitusi kode SQL amarga ora cukup mlayu saka konstruksi SQL ing DTML lan obyek kanggo nyambungake menyang DBMS (masalah khusus kanggo lan katon ing aplikasi liyane adhedhasar iku);
- Kemampuan kanggo nulis ulang isi liwat manipulasi kanthi metode PUT tanpa duwe hak nulis;
- Bukak pangalihan ing formulir login;
- Kamungkinan ngirim pranala njaba angkoro liwat mriksa isURLInPortal;
- Priksa kekuatan sandi gagal ing sawetara kasus;
- Cross-site scripting (XSS) liwat substitusi kode ing kolom judhul.
Source: opennet.ru
