Тегін мазмұнды басқару жүйесі үшін , Python тілінде Zope қолданба сервері арқылы жазылған, жоюы бар патчтар (CVE идентификаторлары әлі тағайындалмаған). Мәселелер Plone-ның барлық ағымдағы шығарылымдарына, соның ішінде бірнеше күн бұрын шығарылған шығарылымға әсер етеді . Мәселелерді Plone 4.3.20, 5.1.7 және 5.2.2 болашақ шығарылымдарында түзету жоспарлануда, оларды жарияланғанға дейін пайдалану ұсынылады. .
Анықталған осалдықтар (детальдар әлі ашылмаған):
- Rest API манипуляциясы арқылы артықшылықтарды көтеру (plone.restapi қосылғанда ғана пайда болады);
- DTML-дегі SQL конструкцияларының және ДҚБЖ-ға қосылу объектілерінің жеткіліксіз қашып кетуіне байланысты SQL кодын ауыстыру (мәселе мыналарға тән: және оған негізделген басқа қолданбаларда пайда болады);
- Жазу құқығынсыз PUT әдісімен манипуляциялар арқылы мазмұнды қайта жазу мүмкіндігі;
- Жүйеге кіру пішінінде қайта бағыттауды ашыңыз;
- isURLInPortal тексеруін айналып өтіп, зиянды сыртқы сілтемелерді жіберу мүмкіндігі;
- Кейбір жағдайларда пароль күшін тексеру сәтсіз аяқталады;
- Тақырып өрісіндегі кодты ауыстыру арқылы сайтаралық сценарий (XSS).
Ақпарат көзі: opennet.ru