O darmowy system zarządzania treścią , napisany w Pythonie przy użyciu serwera aplikacji Zope, poprawki z eliminacją (Identyfikatory CVE nie zostały jeszcze przypisane). Problemy dotyczą wszystkich aktualnych wydań Plone, łącznie z wydaniem wydanym kilka dni temu . Planuje się, że problemy zostaną naprawione w przyszłych wydaniach Plone 4.3.20, 5.1.7 i 5.2.2, przed publikacją których sugeruje się użycie .
Zidentyfikowane luki (szczegóły nie zostały jeszcze ujawnione):
- Podniesienie uprawnień poprzez manipulację Rest API (pojawia się tylko wtedy, gdy włączony jest plone.restapi);
- Podstawienie kodu SQL ze względu na niewystarczającą ucieczkę konstrukcji SQL w DTML i obiektów do połączenia z SZBD (problem jest specyficzny dla i pojawia się w innych opartych na nim aplikacjach);
- Możliwość przepisywania treści poprzez manipulacje metodą PUT bez posiadania uprawnień do zapisu;
- Otwórz przekierowanie w formularzu logowania;
- Możliwość przesyłania złośliwych linków zewnętrznych z pominięciem kontroli isURLINPortal;
- W niektórych przypadkach sprawdzanie siły hasła kończy się niepowodzeniem;
- Skrypty między witrynami (XSS) poprzez podstawienie kodu w polu tytułu.
Źródło: opennet.ru