ಉಚಿತ ವಿಷಯ ನಿರ್ವಹಣಾ ವ್ಯವಸ್ಥೆಗಾಗಿ , ಝೋಪ್ ಅಪ್ಲಿಕೇಶನ್ ಸರ್ವರ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ಪೈಥಾನ್ನಲ್ಲಿ ಬರೆಯಲಾಗಿದೆ, ನಿರ್ಮೂಲನೆಯೊಂದಿಗೆ ತೇಪೆಗಳು (CVE ಗುರುತಿಸುವಿಕೆಗಳನ್ನು ಇನ್ನೂ ನಿಯೋಜಿಸಲಾಗಿಲ್ಲ). ಕೆಲವು ದಿನಗಳ ಹಿಂದೆ ಬಿಡುಗಡೆಯಾದ ಬಿಡುಗಡೆ ಸೇರಿದಂತೆ ಪ್ಲೋನ್ನ ಎಲ್ಲಾ ಪ್ರಸ್ತುತ ಬಿಡುಗಡೆಗಳ ಮೇಲೆ ಸಮಸ್ಯೆಗಳು ಪರಿಣಾಮ ಬೀರುತ್ತವೆ . ಪ್ಲೋನ್ 4.3.20, 5.1.7 ಮತ್ತು 5.2.2 ರ ಭವಿಷ್ಯದ ಬಿಡುಗಡೆಗಳಲ್ಲಿ ಸಮಸ್ಯೆಗಳನ್ನು ಪರಿಹರಿಸಲು ಯೋಜಿಸಲಾಗಿದೆ, ಅದರ ಪ್ರಕಟಣೆಯ ಮೊದಲು ಅದನ್ನು ಬಳಸಲು ಸೂಚಿಸಲಾಗಿದೆ .
ಗುರುತಿಸಲಾದ ದುರ್ಬಲತೆಗಳು (ವಿವರಗಳನ್ನು ಇನ್ನೂ ಬಹಿರಂಗಪಡಿಸಲಾಗಿಲ್ಲ):
- ರೆಸ್ಟ್ API ಯ ಕುಶಲತೆಯ ಮೂಲಕ ಸವಲತ್ತುಗಳ ಉನ್ನತೀಕರಣ (plone.restapi ಸಕ್ರಿಯಗೊಳಿಸಿದಾಗ ಮಾತ್ರ ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತದೆ);
- DTML ನಲ್ಲಿ SQL ರಚನೆಗಳು ಮತ್ತು DBMS ಗೆ ಸಂಪರ್ಕಿಸಲು ಆಬ್ಜೆಕ್ಟ್ಗಳು ಸಾಕಷ್ಟು ತಪ್ಪಿಸಿಕೊಳ್ಳದ ಕಾರಣ SQL ಕೋಡ್ನ ಪರ್ಯಾಯ (ಸಮಸ್ಯೆಯು ನಿರ್ದಿಷ್ಟವಾಗಿದೆ ಮತ್ತು ಅದರ ಆಧಾರದ ಮೇಲೆ ಇತರ ಅಪ್ಲಿಕೇಶನ್ಗಳಲ್ಲಿ ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತದೆ);
- ಬರೆಯುವ ಹಕ್ಕುಗಳಿಲ್ಲದೆಯೇ PUT ವಿಧಾನದೊಂದಿಗೆ ಮ್ಯಾನಿಪ್ಯುಲೇಷನ್ ಮೂಲಕ ವಿಷಯವನ್ನು ಪುನಃ ಬರೆಯುವ ಸಾಮರ್ಥ್ಯ;
- ಲಾಗಿನ್ ರೂಪದಲ್ಲಿ ಮರುನಿರ್ದೇಶನವನ್ನು ತೆರೆಯಿರಿ;
- isURLinPortal ಚೆಕ್ ಅನ್ನು ಬೈಪಾಸ್ ಮಾಡುವ ಮೂಲಕ ದುರುದ್ದೇಶಪೂರಿತ ಬಾಹ್ಯ ಲಿಂಕ್ಗಳನ್ನು ರವಾನಿಸುವ ಸಾಧ್ಯತೆ;
- ಕೆಲವು ಸಂದರ್ಭಗಳಲ್ಲಿ ಪಾಸ್ವರ್ಡ್ ಸಾಮರ್ಥ್ಯ ಪರಿಶೀಲನೆ ವಿಫಲಗೊಳ್ಳುತ್ತದೆ;
- ಶೀರ್ಷಿಕೆ ಕ್ಷೇತ್ರದಲ್ಲಿ ಕೋಡ್ ಪರ್ಯಾಯದ ಮೂಲಕ ಕ್ರಾಸ್-ಸೈಟ್ ಸ್ಕ್ರಿಪ್ಟಿಂಗ್ (XSS).
ಮೂಲ: opennet.ru