Għal sistema ta 'ġestjoni tal-kontenut b'xejn , miktuba f'Python bl-użu tas-server tal-applikazzjoni Zope, irqajja bl-eliminazzjoni (L-identifikaturi CVE għadhom ma ġewx assenjati). Il-problemi jaffettwaw ir-rilaxxi kurrenti kollha ta' Plone, inkluż ir-rilaxx li ħareġ ftit jiem ilu . Il-kwistjonijiet huma ppjanati li jiġu ffissati fir-rilaxxi futuri ta' Plone 4.3.20, 5.1.7 u 5.2.2, qabel il-pubblikazzjoni tagħhom huwa ssuġġerit li jintuża. .
Vulnerabbiltajiet identifikati (dettalji għadhom mhux żvelati):
- Elevazzjoni tal-privileġġi permezz tal-manipulazzjoni tal-API Rest (jidher biss meta plone.restapi huwa attivat);
- Sostituzzjoni ta' kodiċi SQL minħabba ħarba insuffiċjenti ta' kostruzzjonijiet SQL f'DTML u oġġetti għall-konnessjoni mad-DBMS (il-problema hija speċifika għal u jidher f'applikazzjonijiet oħra bbażati fuqha);
- Il-kapaċità li tikteb mill-ġdid il-kontenut permezz ta 'manipulazzjonijiet bil-metodu PUT mingħajr ma jkollok drittijiet ta' kitba;
- Iftaħ redirect fil-formola tal-login;
- Possibbiltà li jittrasmettu links esterni malizzjużi billi jinjora l-kontroll isURLInPortal;
- Il-kontroll tas-saħħa tal-password ifalli f'xi każijiet;
- Cross-site scripting (XSS) permezz ta' sostituzzjoni tal-kodiċi fil-qasam tat-titlu.
Sors: opennet.ru