مفت مواد مينيجمينٽ سسٽم لاءِ , Zope ايپليڪيشن سرور استعمال ڪندي Python ۾ لکيل، ختم ڪرڻ سان گڏ پيچ (CVE سڃاڻپ ڪندڙ اڃا تائين مقرر نه ڪيا ويا آهن). مسئلا Plone جي سڀني موجوده رليز کي متاثر ڪن ٿا، بشمول ڪجهه ڏينهن اڳ جاري ڪيل رليز . مسئلا حل ڪرڻ جي منصوبابندي ڪئي وئي آهي مستقبل جي رليز ۾ Plone 4.3.20، 5.1.7 ۽ 5.2.2، انهي جي اشاعت کان اڳ ان کي استعمال ڪرڻ جي صلاح ڏني وئي آهي .
سڃاڻپ ٿيل نقصان (تفصيل اڃا ظاهر نه ڪئي وئي آهي):
- Rest API (صرف ظاهر ٿئي ٿو جڏهن plone.restapi فعال آهي) جي هٿرادو ذريعي استحقاق جي بلندي؛
- ڊي ٽي ايم ايل ۽ ڊي بي ايم ايس سان ڳنڍڻ لاءِ شيون (مسئلو مخصوص آهي ۽ ان جي بنياد تي ٻين ايپليڪيشنن ۾ ظاهر ٿئي ٿو؛
- لکڻ جي حقن کان سواءِ PUT طريقي سان هٿرادو مواد کي ٻيهر لکڻ جي صلاحيت؛
- لاگ ان فارم ۾ ريڊائريڪٽ کوليو؛
- isURLInPortal چيڪ کان پاسو ڪندي خراب خارجي لنڪس منتقل ڪرڻ جو امڪان؛
- ڪجھ ڪيسن ۾ پاسورڊ جي طاقت جي چڪاس ناڪام ٿي؛
- ڪراس سائيٽ اسڪرپٽنگ (XSS) عنوان جي ميدان ۾ ڪوڊ متبادل ذريعي.
جو ذريعو: opennet.ru