ഒരു സ്വതന്ത്ര ഉള്ളടക്ക മാനേജ്മെന്റ് സിസ്റ്റത്തിനായി , സോപ്പ് ആപ്ലിക്കേഷൻ സെർവർ ഉപയോഗിച്ച് പൈത്തണിൽ എഴുതിയിരിക്കുന്നു, ഉന്മൂലനം ഉള്ള പാച്ചുകൾ (CVE ഐഡന്റിഫയറുകൾ ഇതുവരെ നൽകിയിട്ടില്ല). കുറച്ച് ദിവസങ്ങൾക്ക് മുമ്പ് റിലീസ് ചെയ്തതുൾപ്പെടെ, പ്ലോണിന്റെ നിലവിലെ എല്ലാ റിലീസുകളെയും പ്രശ്നങ്ങൾ ബാധിക്കുന്നു . പ്ലോൺ 4.3.20, 5.1.7, 5.2.2 എന്നിവയുടെ ഭാവി പതിപ്പുകളിൽ പ്രശ്നങ്ങൾ പരിഹരിക്കാൻ പദ്ധതിയിട്ടിട്ടുണ്ട്, അത് പ്രസിദ്ധീകരിക്കുന്നതിന് മുമ്പ് അത് ഉപയോഗിക്കാൻ നിർദ്ദേശിക്കുന്നു .
തിരിച്ചറിഞ്ഞ കേടുപാടുകൾ (വിശദാംശങ്ങൾ ഇതുവരെ വെളിപ്പെടുത്തിയിട്ടില്ല):
- Rest API-യുടെ കൃത്രിമത്വത്തിലൂടെ പ്രത്യേകാവകാശങ്ങളുടെ ഉയർച്ച (plone.restapi പ്രവർത്തനക്ഷമമാക്കിയിരിക്കുമ്പോൾ മാത്രം ദൃശ്യമാകുന്നു);
- DTML-ലെ SQL നിർമ്മിതികളും DBMS-ലേക്ക് ബന്ധിപ്പിക്കുന്നതിനുള്ള ഒബ്ജക്റ്റുകളും വേണ്ടത്ര രക്ഷപ്പെടാത്തതിനാൽ SQL കോഡിന്റെ പകരക്കാരൻ (പ്രശ്നം പ്രത്യേകമാണ് അതിന്റെ അടിസ്ഥാനത്തിൽ മറ്റ് ആപ്ലിക്കേഷനുകളിൽ ദൃശ്യമാകുകയും ചെയ്യുന്നു);
- എഴുതാനുള്ള അവകാശങ്ങൾ ഇല്ലാതെ തന്നെ PUT രീതി ഉപയോഗിച്ച് കൃത്രിമങ്ങൾ വഴി ഉള്ളടക്കം മാറ്റിയെഴുതാനുള്ള കഴിവ്;
- ലോഗിൻ ഫോമിൽ റീഡയറക്ട് തുറക്കുക;
- isURLinPortal പരിശോധനയെ മറികടന്ന് ക്ഷുദ്രകരമായ ബാഹ്യ ലിങ്കുകൾ കൈമാറുന്നതിനുള്ള സാധ്യത;
- ചില സന്ദർഭങ്ങളിൽ പാസ്വേഡ് ശക്തി പരിശോധന പരാജയപ്പെടുന്നു;
- ശീർഷക ഫീൽഡിലെ കോഡ് പകരം വയ്ക്കൽ വഴി ക്രോസ്-സൈറ്റ് സ്ക്രിപ്റ്റിംഗ് (XSS).
അവലംബം: opennet.ru