🥇 प्लोन सामग्री व्यवस्थापन प्रणालीमधील असुरक्षा

विनामूल्य सामग्री व्यवस्थापन प्रणालीसाठी प्लोन, Zope ऍप्लिकेशन सर्व्हर वापरून Python मध्ये लिहिलेले, प्रकाशित निर्मूलनासह पॅच 7 असुरक्षा (CVE अभिज्ञापक अद्याप नियुक्त केलेले नाहीत). समस्या Plone च्या सर्व वर्तमान रिलीझवर परिणाम करतात, काही दिवसांपूर्वी रिलीज झालेल्या रिलीझसह 5.2.1. Plone 4.3.20, 5.1.7 आणि 5.2.2 च्या भविष्यातील रिलीझमध्ये समस्यांचे निराकरण करण्याचे नियोजित आहे, ज्याचा वापर करण्यास सुचविले आहे. हॉटफिक्स.

ओळखल्या गेलेल्या भेद्यता (तपशील अद्याप उघड केलेले नाही):

बाकी API च्या हाताळणीद्वारे विशेषाधिकारांची उन्नती (फक्त जेव्हा plone.restapi सक्षम असते तेव्हा दिसून येते);
डीटीएमएलमधील एसक्यूएल कन्स्ट्रक्ट्स आणि डीबीएमएसशी कनेक्ट होण्यासाठी ऑब्जेक्ट्स अपुरे पडल्यामुळे एसक्यूएल कोडची जागा बदलणे (समस्या यासाठी विशिष्ट आहे झोपे आणि त्यावर आधारित इतर अनुप्रयोगांमध्ये दिसते);
लेखन अधिकारांशिवाय PUT पद्धतीसह हाताळणीद्वारे सामग्री पुन्हा लिहिण्याची क्षमता;
लॉगिन फॉर्ममध्ये पुनर्निर्देशन उघडा;
isURLInPortal तपासणीला मागे टाकून दुर्भावनापूर्ण बाह्य दुवे प्रसारित करण्याची शक्यता;
संकेतशब्द सामर्थ्य तपासणी काही प्रकरणांमध्ये अयशस्वी;
शीर्षक फील्डमध्ये कोड प्रतिस्थापनाद्वारे क्रॉस-साइट स्क्रिप्टिंग (XSS).

स्त्रोत: opennet.ru

प्लोन कंटेंट मॅनेजमेंट सिस्टममधील 7 असुरक्षा