အခမဲ့အကြောင်းအရာစီမံခန့်ခွဲမှုစနစ်အတွက် Zope အပလီကေးရှင်းဆာဗာကို အသုံးပြု၍ Python ဖြင့် ရေးသားထားသော၊ ဖယ်ရှားခြင်းနှင့်အတူ patches (CVE အမှတ်အသားများကို မသတ်မှတ်ရသေးပါ)။ ပြဿနာများသည် လွန်ခဲ့သည့်ရက်အနည်းငယ်က ထုတ်ပြန်ခဲ့သည့် ဖြန့်ချိမှုအပါအဝင် Plone ၏ လက်ရှိထွက်ရှိမှုအားလုံးကို အကျိုးသက်ရောက်စေသည်။ . အသုံးပြုရန် အကြံပြုထားသည့် မထုတ်ဝေမီ Plone 4.3.20၊ 5.1.7 နှင့် 5.2.2 တို့တွင် ပြဿနာများကို ဖြေရှင်းရန် စီစဉ်ထားပါသည်။ .
ဖော်ထုတ်ထားသော အားနည်းချက်များ (အသေးစိတ်အချက်အလက်များကို မထုတ်ဖော်ရသေးပါ)။
- Rest API ၏ ခြယ်လှယ်မှုမှတစ်ဆင့် အခွင့်ထူးများ တိုးမြှင့်ခြင်း (plone.restapi ကို ဖွင့်ထားမှသာ ပေါ်လာသည်);
- DTML တွင် SQL တည်ဆောက်မှုများနှင့် DBMS သို့ချိတ်ဆက်ရန်အတွက် အရာဝတ္တုများ မလုံလောက်သောကြောင့် SQL ကုဒ်အစားထိုးခြင်း (ပြဿနာမှာ သီးခြားဖြစ်သည်။ ၎င်းကို အခြေခံ၍ အခြား application များတွင် ပေါ်လာသည်);
- ရေးပိုင်ခွင့်များမလိုအပ်ဘဲ PUT နည်းလမ်းဖြင့် အကြောင်းအရာများကို ခြယ်လှယ်ခြင်းဖြင့် ပြန်လည်ရေးသားနိုင်မှု၊
- လော့ဂ်အင်ဖောင်တွင် လမ်းကြောင်းလွှဲခြင်းကို ဖွင့်ပါ။
- isURLInPortal စစ်ဆေးမှုကို ကျော်ဖြတ်၍ အန္တရာယ်ရှိသော ပြင်ပလင့်ခ်များကို ပို့လွှတ်နိုင်ခြေ
- အချို့ကိစ္စများတွင် စကားဝှက်အား စစ်ဆေးမှု မအောင်မြင်ပါ။
- ခေါင်းစဉ်အကွက်တွင် ကုဒ်အစားထိုးခြင်းမှတစ်ဆင့် ဆိုက်စကေးတင်ခြင်း (XSS)။
source: opennet.ru