Fir e gratis Inhalt Management System , geschriwwen am Python mam Zope Applikatiounsserver, Patches mat Eliminatioun (CVE Identifizéierer sinn nach net zougewisen ginn). D'Problemer beaflossen all aktuell Verëffentlechunge vu Plone, och d'Verëffentlechung virun e puer Deeg . D'Themae si geplangt an zukünfteg Verëffentlechunge vu Plone 4.3.20, 5.1.7 a 5.2.2 fixéiert ze ginn, ier d'Publikatioun vun deenen et proposéiert gëtt ze benotzen .
Identifizéiert Schwachstelle (Detailer nach net verëffentlecht):
- Erhéijung vun Privilegien duerch Manipulatioun vun der Rest API (schéngt nëmmen wann plone.restapi aktivéiert ass);
- Ersatz vum SQL Code wéinst net genuch Flucht vu SQL Konstrukten an DTML an Objekter fir mat der DBMS ze verbannen (de Problem ass spezifesch fir a erschéngt an aneren Uwendungen baséiert op et);
- D'Kapazitéit fir Inhalter duerch Manipulatioune mat der PUT-Methode ëmzeschreiwen ouni Schreifrechter ze hunn;
- Open Viruleedung am Login Form;
- Méiglechkeet fir béiswëlleg extern Linken z'iwwerdroen, déi den isURLInPortal Check ëmgoen;
- Passwuertstäerktprüfung feelt an e puer Fäll;
- Cross-Site Scripting (XSS) duerch Code Ersatz am Titelfeld.
Source: opennet.ru