7 Ранливост во системот за управување со содржина Plone
За бесплатен систем за управување со содржина Плоне, напишана во Python со помош на апликацискиот сервер Zope, објавено закрпи со елиминација 7 ранливости (CVE идентификаторите сè уште не се доделени). Проблемите ги засегаат сите тековни изданија на Plone, вклучително и изданието објавено пред неколку дена 5.2.1. Се планира проблемите да се поправат во идните изданија на Plone 4.3.20, 5.1.7 и 5.2.2, пред чие објавување се предлага да се користи испраќање.
Идентификувани пропусти (детали сè уште не се откриени):
Зголемување на привилегиите преку манипулација со Rest API (се појавува само кога е овозможено plone.restapi);
Замена на SQL код поради недоволно бегство на SQL конструкции во DTML и објекти за поврзување со DBMS (проблемот е специфичен за Зопе и се појавува во други апликации врз основа на него);
Способност да се препишува содржина преку манипулации со методот PUT без да има права за пишување;
Отворете пренасочување во формата за најавување;
Можност за пренос на малициозни надворешни врски заобиколувајќи ја проверката на isURLInPortal;
Проверката на јачината на лозинката не успева во некои случаи;
Скриптирање меѓу страници (XSS) преку замена на код во полето за наслов.