7 Schwachstelle am Plone Content Management System
Fir e gratis Inhalt Management System Plon, geschriwwen am Python mam Zope Applikatiounsserver, publizéiert Patches mat Eliminatioun 7 Schwachstelle (CVE Identifizéierer sinn nach net zougewisen ginn). D'Problemer beaflossen all aktuell Verëffentlechunge vu Plone, och d'Verëffentlechung virun e puer Deeg 5.2.1. D'Themae si geplangt an zukünfteg Verëffentlechunge vu Plone 4.3.20, 5.1.7 a 5.2.2 fixéiert ze ginn, ier d'Publikatioun vun deenen et proposéiert gëtt ze benotzen Hotfix.
Identifizéiert Schwachstelle (Detailer nach net verëffentlecht):
Erhéijung vun Privilegien duerch Manipulatioun vun der Rest API (schéngt nëmmen wann plone.restapi aktivéiert ass);
Ersatz vum SQL Code wéinst net genuch Flucht vu SQL Konstrukten an DTML an Objekter fir mat der DBMS ze verbannen (de Problem ass spezifesch fir Zope a erschéngt an aneren Uwendungen baséiert op et);
D'Kapazitéit fir Inhalter duerch Manipulatioune mat der PUT-Methode ëmzeschreiwen ouni Schreifrechter ze hunn;
Open Viruleedung am Login Form;
Méiglechkeet fir béiswëlleg extern Linken z'iwwerdroen, déi den isURLInPortal Check ëmgoen;
Passwuertstäerktprüfung feelt an e puer Fäll;
Cross-Site Scripting (XSS) duerch Code Ersatz am Titelfeld.