Para um sistema de gerenciamento de conteúdo gratuito , escrito em Python usando o servidor de aplicação Zope, patches com eliminação (Os identificadores CVE ainda não foram atribuídos). Os problemas afetam todas as versões atuais do Plone, incluindo a versão lançada há poucos dias . Os problemas estão planejados para serem corrigidos em versões futuras do Plone 4.3.20, 5.1.7 e 5.2.2, antes da publicação das quais é sugerido usar .
Vulnerabilidades identificadas (detalhes ainda não divulgados):
- Elevação de privilégios através da manipulação da API Rest (aparece apenas quando o plone.restapi está habilitado);
- Substituição de código SQL devido ao escape insuficiente de construções SQL em DTML e objetos para conexão com o SGBD (o problema é específico para e aparece em outros aplicativos baseados nele);
- A capacidade de reescrever conteúdo através de manipulações com o método PUT sem ter direitos de gravação;
- Abra o redirecionamento no formulário de login;
- Possibilidade de transmissão de links externos maliciosos contornando a verificação isURLInPortal;
- A verificação da força da senha falha em alguns casos;
- Cross-site scripting (XSS) por meio de substituição de código no campo de título.
Fonte: opennet.ru