7 Vulnerabbiltajiet fis-Sistema ta' Ġestjoni tal-Kontenut Plone
Għal sistema ta 'ġestjoni tal-kontenut b'xejn ajruplan, miktuba f'Python bl-użu tas-server tal-applikazzjoni Zope, ippubblikat irqajja bl-eliminazzjoni 7 vulnerabilità (L-identifikaturi CVE għadhom ma ġewx assenjati). Il-problemi jaffettwaw ir-rilaxxi kurrenti kollha ta' Plone, inkluż ir-rilaxx li ħareġ ftit jiem ilu 5.2.1. Il-kwistjonijiet huma ppjanati li jiġu ffissati fir-rilaxxi futuri ta' Plone 4.3.20, 5.1.7 u 5.2.2, qabel il-pubblikazzjoni tagħhom huwa ssuġġerit li jintuża. hotfix.
Vulnerabbiltajiet identifikati (dettalji għadhom mhux żvelati):
Elevazzjoni tal-privileġġi permezz tal-manipulazzjoni tal-API Rest (jidher biss meta plone.restapi huwa attivat);
Sostituzzjoni ta' kodiċi SQL minħabba ħarba insuffiċjenti ta' kostruzzjonijiet SQL f'DTML u oġġetti għall-konnessjoni mad-DBMS (il-problema hija speċifika għal Zope u jidher f'applikazzjonijiet oħra bbażati fuqha);
Il-kapaċità li tikteb mill-ġdid il-kontenut permezz ta 'manipulazzjonijiet bil-metodu PUT mingħajr ma jkollok drittijiet ta' kitba;
Iftaħ redirect fil-formola tal-login;
Possibbiltà li jittrasmettu links esterni malizzjużi billi jinjora l-kontroll isURLInPortal;