For et gratis innholdsstyringssystem flyet, skrevet i Python ved å bruke Zope-applikasjonsserveren, publisert plaster med eliminering 7 sårbarheter (CVE-identifikatorer er ennå ikke tildelt). Problemene påvirker alle nåværende utgivelser av Plone, inkludert utgivelsen som ble utgitt for noen dager siden 5.2.1. Problemene er planlagt løst i fremtidige utgivelser av Plone 4.3.20, 5.1.7 og 5.2.2, før publisering som det foreslås brukt hurtigreparasjon.
Identifiserte sårbarheter (detaljer ennå ikke offentliggjort):
Utvidelse av privilegier gjennom manipulering av Rest API (vises bare når plone.restapi er aktivert);
Bytte av SQL-kode på grunn av utilstrekkelig escape av SQL-konstruksjoner i DTML og objekter for tilkobling til DBMS (problemet er spesifikt for Zope og vises i andre applikasjoner basert på det);
Evnen til å omskrive innhold gjennom manipulasjoner med PUT-metoden uten å ha skriverettigheter;
Åpne viderekobling i påloggingsskjemaet;
Mulighet for å overføre ondsinnede eksterne lenker utenom isURLInPortal-sjekken;
Kontroll av passordstyrke mislykkes i noen tilfeller;
Cross-site scripting (XSS) gjennom kodeerstatning i tittelfeltet.