പ്ലോൺ ഉള്ളടക്ക മാനേജ്മെന്റ് സിസ്റ്റത്തിലെ 7 കേടുപാടുകൾ

ഒരു സ്വതന്ത്ര ഉള്ളടക്ക മാനേജ്മെന്റ് സിസ്റ്റത്തിനായി പ്ലോൺ, സോപ്പ് ആപ്ലിക്കേഷൻ സെർവർ ഉപയോഗിച്ച് പൈത്തണിൽ എഴുതിയിരിക്കുന്നു, പ്രസിദ്ധീകരിച്ചു ഉന്മൂലനം ഉള്ള പാച്ചുകൾ 7 കേടുപാടുകൾ (CVE ഐഡന്റിഫയറുകൾ ഇതുവരെ നൽകിയിട്ടില്ല). കുറച്ച് ദിവസങ്ങൾക്ക് മുമ്പ് റിലീസ് ചെയ്തതുൾപ്പെടെ, പ്ലോണിന്റെ നിലവിലെ എല്ലാ റിലീസുകളെയും പ്രശ്നങ്ങൾ ബാധിക്കുന്നു 5.2.1. പ്ലോൺ 4.3.20, 5.1.7, 5.2.2 എന്നിവയുടെ ഭാവി പതിപ്പുകളിൽ പ്രശ്നങ്ങൾ പരിഹരിക്കാൻ പദ്ധതിയിട്ടിട്ടുണ്ട്, അത് പ്രസിദ്ധീകരിക്കുന്നതിന് മുമ്പ് അത് ഉപയോഗിക്കാൻ നിർദ്ദേശിക്കുന്നു ഹോട്ട്ഫൈക്സ്.

തിരിച്ചറിഞ്ഞ കേടുപാടുകൾ (വിശദാംശങ്ങൾ ഇതുവരെ വെളിപ്പെടുത്തിയിട്ടില്ല):

• Rest API-യുടെ കൃത്രിമത്വത്തിലൂടെ പ്രത്യേകാവകാശങ്ങളുടെ ഉയർച്ച (plone.restapi പ്രവർത്തനക്ഷമമാക്കിയിരിക്കുമ്പോൾ മാത്രം ദൃശ്യമാകുന്നു);
• DTML-ലെ SQL നിർമ്മിതികളും DBMS-ലേക്ക് ബന്ധിപ്പിക്കുന്നതിനുള്ള ഒബ്‌ജക്‌റ്റുകളും വേണ്ടത്ര രക്ഷപ്പെടാത്തതിനാൽ SQL കോഡിന്റെ പകരക്കാരൻ (പ്രശ്നം പ്രത്യേകമാണ് സോപ്പ് അതിന്റെ അടിസ്ഥാനത്തിൽ മറ്റ് ആപ്ലിക്കേഷനുകളിൽ ദൃശ്യമാകുകയും ചെയ്യുന്നു);
• എഴുതാനുള്ള അവകാശങ്ങൾ ഇല്ലാതെ തന്നെ PUT രീതി ഉപയോഗിച്ച് കൃത്രിമങ്ങൾ വഴി ഉള്ളടക്കം മാറ്റിയെഴുതാനുള്ള കഴിവ്;
• ലോഗിൻ ഫോമിൽ റീഡയറക്‌ട് തുറക്കുക;
• isURLinPortal പരിശോധനയെ മറികടന്ന് ക്ഷുദ്രകരമായ ബാഹ്യ ലിങ്കുകൾ കൈമാറുന്നതിനുള്ള സാധ്യത;
• ചില സന്ദർഭങ്ങളിൽ പാസ്‌വേഡ് ശക്തി പരിശോധന പരാജയപ്പെടുന്നു;
• ശീർഷക ഫീൽഡിലെ കോഡ് പകരം വയ്ക്കൽ വഴി ക്രോസ്-സൈറ്റ് സ്ക്രിപ്റ്റിംഗ് (XSS).

അവലംബം: opennet.ru