Voor een gratis contentmanagementsysteem , geschreven in Python met behulp van de Zope-applicatieserver, pleisters met eliminatie (CVE-identificatoren zijn nog niet toegewezen). De problemen zijn van invloed op alle huidige releases van Plone, inclusief de release die een paar dagen geleden is uitgebracht . Het is de bedoeling dat de problemen worden opgelost in toekomstige releases van Plone 4.3.20, 5.1.7 en 5.2.2, vóór publicatie waarvan wordt voorgesteld om .
Geïdentificeerde kwetsbaarheden (details nog niet bekendgemaakt):
- Verhoging van bevoegdheden door manipulatie van de Rest API (verschijnt alleen wanneer plone.restapi is ingeschakeld);
- Vervanging van SQL-code vanwege onvoldoende ontsnapping van SQL-constructies in DTML en objecten voor verbinding met het DBMS (het probleem is specifiek voor en verschijnt in andere daarop gebaseerde applicaties);
- De mogelijkheid om inhoud te herschrijven door middel van manipulaties met de PUT-methode zonder schrijfrechten te hebben;
- Open de omleiding in het inlogformulier;
- Mogelijkheid om kwaadaardige externe links te verzenden zonder de isURLInPortal-controle te omzeilen;
- Controle van de wachtwoordsterkte mislukt in sommige gevallen;
- Cross-site scripting (XSS) door codevervanging in het titelveld.
Bron: opennet.ru