Untuk sistem pengurusan kandungan percuma , ditulis dalam Python menggunakan pelayan aplikasi Zope, tompok dengan penyingkiran (Pengecam CVE masih belum diberikan). Masalah ini menjejaskan semua keluaran semasa Plone, termasuk keluaran dikeluarkan beberapa hari lalu . Isu ini dirancang untuk diperbaiki dalam keluaran masa depan Plone 4.3.20, 5.1.7 dan 5.2.2, sebelum penerbitan yang dicadangkan untuk digunakan .
Kerentanan yang dikenal pasti (butiran belum didedahkan):
- Peningkatan keistimewaan melalui manipulasi API Rehat (muncul hanya apabila plone.restapi didayakan);
- Penggantian kod SQL kerana konstruk SQL yang tidak mencukupi melarikan diri dalam DTML dan objek untuk menyambung ke DBMS (masalahnya khusus untuk dan muncul dalam aplikasi lain berdasarkannya);
- Keupayaan untuk menulis semula kandungan melalui manipulasi dengan kaedah PUT tanpa mempunyai hak menulis;
- Buka ubah hala dalam borang log masuk;
- Kemungkinan menghantar pautan luar berniat jahat memintas semakan isURLInPortal;
- Semakan kekuatan kata laluan gagal dalam beberapa kes;
- Penskripan silang tapak (XSS) melalui penggantian kod dalam medan tajuk.
Sumber: opennet.ru