Plone 콘텐츠 관리 시스템의 7가지 취약점

무료 콘텐츠 관리 시스템의 경우 플론, Zope 애플리케이션 서버를 사용하여 Python으로 작성됨, 출판 된 제거 패치 7개의 취약점 (CVE 식별자는 아직 할당되지 않았습니다). 문제는 며칠 전에 출시된 릴리스를 포함하여 모든 현재 Plone 릴리스에 영향을 미칩니다. 5.2.1. 이 문제는 Plone 4.3.20, 5.1.7 및 5.2.2의 향후 릴리스에서 수정될 예정이며, 이를 게시하기 전에 사용하는 것이 좋습니다. 핫픽스.

확인된 취약점(자세한 내용은 아직 공개되지 않음):

• Rest API 조작을 통한 권한 상승(plone.restapi가 활성화된 경우에만 표시됨)
• DTML의 SQL 구문과 DBMS에 연결하기 위한 개체의 이스케이프가 충분하지 않아 SQL 코드 대체(문제는 다음과 같습니다. 조프 이를 기반으로 하는 다른 애플리케이션에 나타납니다)
• 쓰기 권한 없이 PUT 메서드를 사용한 조작을 통해 콘텐츠를 다시 쓸 수 있는 기능
• 로그인 양식에서 리디렉션을 엽니다.
• isURLInPortal 검사를 우회하여 악성 외부 링크를 전송할 가능성;
• 어떤 경우에는 비밀번호 강도 확인이 실패합니다.
• 제목 필드의 코드 대체를 통한 XSS(교차 사이트 스크립팅)

출처 : opennet.ru