For et gratis innholdsstyringssystem , skrevet i Python ved å bruke Zope-applikasjonsserveren, plaster med eliminering (CVE-identifikatorer er ennå ikke tildelt). Problemene påvirker alle nåværende utgivelser av Plone, inkludert utgivelsen som ble utgitt for noen dager siden . Problemene er planlagt løst i fremtidige utgivelser av Plone 4.3.20, 5.1.7 og 5.2.2, før publisering som det foreslås brukt .
Identifiserte sårbarheter (detaljer ennå ikke offentliggjort):
- Utvidelse av privilegier gjennom manipulering av Rest API (vises bare når plone.restapi er aktivert);
- Bytte av SQL-kode på grunn av utilstrekkelig escape av SQL-konstruksjoner i DTML og objekter for tilkobling til DBMS (problemet er spesifikt for og vises i andre applikasjoner basert på det);
- Evnen til å omskrive innhold gjennom manipulasjoner med PUT-metoden uten å ha skriverettigheter;
- Åpne viderekobling i påloggingsskjemaet;
- Mulighet for å overføre ondsinnede eksterne lenker utenom isURLInPortal-sjekken;
- Kontroll av passordstyrke mislykkes i noen tilfeller;
- Cross-site scripting (XSS) gjennom kodeerstatning i tittelfeltet.
Kilde: opennet.ru