Үнэгүй контентын удирдлагын системийн хувьд , Zope програмын сервер ашиглан Python дээр бичигдсэн, арилгах бүхий засварууд (CVE танигч хараахан оноогоогүй байна). Асуудал нь Plone-ийн одоогийн бүх хувилбаруудад, тэр дундаа хэдхэн хоногийн өмнө гарсан хувилбарт нөлөөлж байна . Эдгээр асуудлуудыг Plone 4.3.20, 5.1.7, 5.2.2-ын дараагийн хувилбаруудад засахаар төлөвлөж байгаа бөгөөд үүнийг хэвлэхээс өмнө ашиглахыг зөвлөж байна. .
Тодорхойлогдсон сул талууд (дэлгэрэнгүй мэдээллийг хараахан задлаагүй):
- Rest API-г ашиглах замаар давуу эрхийг нэмэгдүүлэх (зөвхөн plone.restapi идэвхжсэн үед гарч ирнэ);
- DTML дэх SQL бүтээцүүд болон DBMS-тэй холбогдох объектуудаас дутуу зугтсанаас SQL кодыг сольсон (асуудал нь үүн дээр суурилсан бусад програмуудад гарч ирдэг);
- PUT аргыг ашиглан бичих эрхгүйгээр контентыг дахин бичих чадвар;
- Нэвтрэх маягт дээр дахин чиглүүлэлт нээх;
- isURLInPortal шалгалтыг давж хортой гадаад холбоосыг дамжуулах боломж;
- Нууц үгийн бат бөх байдлын шалгалт зарим тохиолдолд амжилтгүй болдог;
- Гарчгийн талбарт код орлуулах замаар сайт хоорондын скрипт (XSS).
Эх сурвалж: opennet.ru