Үнэгүй контент менежментийн системийн хувьд , Zope програмын сервер ашиглан Python хэл дээр бичигдсэн, арилгах үйлчилгээтэй нөхөөсүүд (CVE танигчийг хараахан оноож өгөөгүй байна.) Эдгээр асуудлууд нь хэдхэн хоногийн өмнө гарсан хувилбарыг оролцуулан Plone-ийн бүх одоогийн хувилбаруудад нөлөөлж байна. Эдгээр асуудлыг Plone 4.3.20, 5.1.7 болон 5.2.2 хувилбаруудын ирээдүйн хувилбаруудад засахаар төлөвлөж байгаа бөгөөд үүнээс өмнө ашиглахыг зөвлөж байна. .
Илэрсэн эмзэг байдал (дэлгэрэнгүй мэдээллийг хараахан мэдээлээгүй байна):
- Rest API-г ашиглан давуу эрхийг нэмэгдүүлэх (зөвхөн plone.restapi идэвхжсэн үед л тохиолддог);
- DTML болон DBMS холболтын объектуудад SQL бүтцүүд хангалтгүй гарснаас болж SQL орлуулалт хийгдэж байна (тусгай асуудал) мөн үүн дээр суурилсан бусад програмуудад гарч ирнэ);
- Бичих эрхгүйгээр PUT аргыг ашиглан контентыг дахин бичих боломж;
- Нэвтрэх маягт дахь дахин чиглүүлэлтийг нээх;
- isURLInPortal шалгалтыг алгасаж хортой гадаад холбоос дамжуулах боломж;
- Нууц үгийн бат бөх байдлын шалгалт зарим тохиолдолд амжилтгүй болдог;
- Толгой талбарт код орлуулалтаар дамжуулан сайт хоорондын скрипт (XSS).
Эх сурвалж: opennet.ru
