नि: शुल्क सामग्री व्यवस्थापन प्रणालीको लागि , Zope अनुप्रयोग सर्भर प्रयोग गरेर पाइथनमा लेखिएको, उन्मूलन संग प्याच (CVE पहिचानकर्ताहरू अझै नियुक्त गरिएको छैन)। समस्याहरूले Plone को सबै हालको रिलीजहरूलाई असर गर्छ, केही दिन अघि जारी गरिएको रिलीज सहित । समस्याहरू Plone 4.3.20, 5.1.7 र 5.2.2 को भविष्यका रिलीजहरूमा समाधान गर्ने योजना छ, जसको प्रकाशन अघि यसलाई प्रयोग गर्न सुझाव दिइएको छ। .
पहिचान गरिएका कमजोरीहरू (विवरणहरू अझै खुलासा गरिएको छैन):
- Rest API को हेरफेर मार्फत विशेषाधिकारहरूको उचाइ (plone.restapi सक्षम हुँदा मात्र देखिन्छ);
- DTML मा SQL निर्माणहरू र DBMS मा जडान गर्न वस्तुहरूको अपर्याप्त भागको कारण SQL कोडको प्रतिस्थापन (समस्या विशिष्ट छ र यसको आधारमा अन्य अनुप्रयोगहरूमा देखा पर्दछ);
- लेख्ने अधिकार बिना PUT विधिको साथ हेरफेर मार्फत सामग्री पुन: लेख्ने क्षमता;
- लगइन फारममा रिडिरेक्ट खोल्नुहोस्;
- isURLInPortal जाँचलाई बाइपास गरेर मालिसियस बाह्य लिङ्कहरू प्रसारण गर्ने सम्भावना;
- केही अवस्थामा पासवर्ड बल जाँच असफल हुन्छ;
- शीर्षक क्षेत्रमा कोड प्रतिस्थापन मार्फत क्रस-साइट स्क्रिप्टिङ (XSS)।
स्रोत: opennet.ru