O darmowy system zarządzania treścią Plon, napisany w Pythonie przy użyciu serwera aplikacji Zope, opublikowane poprawki z eliminacją 7 luk w zabezpieczeniach (Identyfikatory CVE nie zostały jeszcze przypisane). Problemy dotyczą wszystkich aktualnych wydań Plone, łącznie z wydaniem wydanym kilka dni temu 5.2.1. Planuje się, że problemy zostaną naprawione w przyszłych wydaniach Plone 4.3.20, 5.1.7 i 5.2.2, przed publikacją których sugeruje się użycie poprawka.
Zidentyfikowane luki (szczegóły nie zostały jeszcze ujawnione):
Podniesienie uprawnień poprzez manipulację Rest API (pojawia się tylko wtedy, gdy włączony jest plone.restapi);
Podstawienie kodu SQL ze względu na niewystarczającą ucieczkę konstrukcji SQL w DTML i obiektów do połączenia z SZBD (problem jest specyficzny dla Zop i pojawia się w innych opartych na nim aplikacjach);
Możliwość przepisywania treści poprzez manipulacje metodą PUT bez posiadania uprawnień do zapisu;
Otwórz przekierowanie w formularzu logowania;
Możliwość przesyłania złośliwych linków zewnętrznych z pominięciem kontroli isURLINPortal;
W niektórych przypadkach sprawdzanie siły hasła kończy się niepowodzeniem;
Skrypty między witrynami (XSS) poprzez podstawienie kodu w polu tytułu.