За бесплатен систем за управување со содржина , напишана во Python со помош на апликацискиот сервер Zope, закрпи со елиминација (CVE идентификаторите сè уште не се доделени). Проблемите ги засегаат сите тековни изданија на Plone, вклучително и изданието објавено пред неколку дена . Се планира проблемите да се поправат во идните изданија на Plone 4.3.20, 5.1.7 и 5.2.2, пред чие објавување се предлага да се користи .
Идентификувани пропусти (детали сè уште не се откриени):
- Зголемување на привилегиите преку манипулација со Rest API (се појавува само кога е овозможено plone.restapi);
- Замена на SQL код поради недоволно бегство на SQL конструкции во DTML и објекти за поврзување со DBMS (проблемот е специфичен за и се појавува во други апликации врз основа на него);
- Способност да се препишува содржина преку манипулации со методот PUT без да има права за пишување;
- Отворете пренасочување во формата за најавување;
- Можност за пренос на малициозни надворешни врски заобиколувајќи ја проверката на isURLInPortal;
- Проверката на јачината на лозинката не успева во некои случаи;
- Скриптирање меѓу страници (XSS) преку замена на код во полето за наслов.
Извор: opennet.ru