ਇੱਕ ਮੁਫਤ ਸਮੱਗਰੀ ਪ੍ਰਬੰਧਨ ਪ੍ਰਣਾਲੀ ਲਈ , Zope ਐਪਲੀਕੇਸ਼ਨ ਸਰਵਰ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਪਾਈਥਨ ਵਿੱਚ ਲਿਖਿਆ ਗਿਆ ਹੈ, ਖਾਤਮੇ ਦੇ ਨਾਲ ਪੈਚ (CVE ਪਛਾਣਕਰਤਾ ਅਜੇ ਤੱਕ ਨਿਰਧਾਰਤ ਨਹੀਂ ਕੀਤੇ ਗਏ ਹਨ)। ਸਮੱਸਿਆਵਾਂ Plone ਦੀਆਂ ਸਾਰੀਆਂ ਮੌਜੂਦਾ ਰੀਲੀਜ਼ਾਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਦੀਆਂ ਹਨ, ਜਿਸ ਵਿੱਚ ਕੁਝ ਦਿਨ ਪਹਿਲਾਂ ਜਾਰੀ ਕੀਤੀ ਗਈ ਰੀਲੀਜ਼ ਵੀ ਸ਼ਾਮਲ ਹੈ . ਪਲੋਨ 4.3.20, 5.1.7 ਅਤੇ 5.2.2 ਦੀਆਂ ਭਵਿੱਖੀ ਰੀਲੀਜ਼ਾਂ ਵਿੱਚ ਮੁੱਦਿਆਂ ਨੂੰ ਹੱਲ ਕਰਨ ਦੀ ਯੋਜਨਾ ਹੈ, ਜਿਸ ਦੇ ਪ੍ਰਕਾਸ਼ਨ ਤੋਂ ਪਹਿਲਾਂ ਇਸਨੂੰ ਵਰਤਣ ਲਈ ਸੁਝਾਅ ਦਿੱਤਾ ਗਿਆ ਹੈ .
ਪਛਾਣੀਆਂ ਗਈਆਂ ਕਮਜ਼ੋਰੀਆਂ (ਵੇਰਵਿਆਂ ਦਾ ਅਜੇ ਖੁਲਾਸਾ ਨਹੀਂ ਕੀਤਾ ਗਿਆ):
- ਰੈਸਟ ਏਪੀਆਈ ਦੀ ਹੇਰਾਫੇਰੀ ਦੁਆਰਾ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਦੀ ਉਚਾਈ (ਸਿਰਫ਼ ਉਦੋਂ ਦਿਖਾਈ ਦਿੰਦੀ ਹੈ ਜਦੋਂ plone.restapi ਯੋਗ ਹੁੰਦਾ ਹੈ);
- ਡੀਟੀਐਮਐਲ ਵਿੱਚ SQL ਕੰਸਟਰੱਕਟਸ ਅਤੇ ਡੀਬੀਐਮਐਸ ਨਾਲ ਕਨੈਕਟ ਕਰਨ ਲਈ ਆਬਜੈਕਟਸ ਦੇ ਨਾਕਾਫੀ ਬਚਣ ਕਾਰਨ SQL ਕੋਡ ਦਾ ਬਦਲਣਾ (ਸਮੱਸਿਆ ਇਸ ਲਈ ਖਾਸ ਹੈ ਅਤੇ ਇਸਦੇ ਅਧਾਰ ਤੇ ਹੋਰ ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਿੱਚ ਦਿਖਾਈ ਦਿੰਦਾ ਹੈ);
- ਲਿਖਣ ਦੇ ਅਧਿਕਾਰਾਂ ਤੋਂ ਬਿਨਾਂ PUT ਵਿਧੀ ਨਾਲ ਹੇਰਾਫੇਰੀ ਦੁਆਰਾ ਸਮੱਗਰੀ ਨੂੰ ਦੁਬਾਰਾ ਲਿਖਣ ਦੀ ਯੋਗਤਾ;
- ਲੌਗਇਨ ਫਾਰਮ ਵਿੱਚ ਰੀਡਾਇਰੈਕਟ ਖੋਲ੍ਹੋ;
- isURLInPortal ਜਾਂਚ ਨੂੰ ਬਾਈਪਾਸ ਕਰਦੇ ਹੋਏ ਖਤਰਨਾਕ ਬਾਹਰੀ ਲਿੰਕਾਂ ਨੂੰ ਸੰਚਾਰਿਤ ਕਰਨ ਦੀ ਸੰਭਾਵਨਾ;
- ਪਾਸਵਰਡ ਤਾਕਤ ਦੀ ਜਾਂਚ ਕੁਝ ਮਾਮਲਿਆਂ ਵਿੱਚ ਅਸਫਲ ਹੁੰਦੀ ਹੈ;
- ਸਿਰਲੇਖ ਖੇਤਰ ਵਿੱਚ ਕੋਡ ਬਦਲ ਦੁਆਰਾ ਕਰਾਸ-ਸਾਈਟ ਸਕ੍ਰਿਪਟਿੰਗ (XSS)।
ਸਰੋਤ: opennet.ru