Nemokamai turinio valdymo sistemai , parašyta Python, naudojant Zope programų serverį, pleistrai su pašalinimu (CVE identifikatoriai dar nebuvo priskirti). Problemos turi įtakos visiems dabartiniams Plone leidimams, įskaitant ir prieš kelias dienas išleistą leidimą . Problemas planuojama ištaisyti būsimose Plone 4.3.20, 5.1.7 ir 5.2.2 versijose, kurias prieš paskelbiant siūloma naudoti .
Nustatyti pažeidžiamumai (išsami informacija dar neatskleidžiama):
- Privilegijų padidinimas manipuliuojant Rest API (rodomas tik įjungus plone.restapi);
- SQL kodo pakeitimas dėl nepakankamo SQL konstrukcijų pašalinimo DTML ir objektų prisijungimui prie DBVS (problema būdinga ir pasirodo kitose juo pagrįstose programose);
- Galimybė perrašyti turinį manipuliuojant PUT metodu, neturint rašymo teisių;
- Atidaryti peradresavimą prisijungimo formoje;
- Galimybė perduoti kenkėjiškas išorines nuorodas apeinant isURLInPortal patikrą;
- Kai kuriais atvejais nepavyksta patikrinti slaptažodžio stiprumo;
- Scenarijus tarp svetainių (XSS) pakeičiant kodą pavadinimo lauke.
Šaltinis: opennet.ru
