නිදහස් අන්තර්ගත කළමනාකරණ පද්ධතියක් සඳහා , Zope යෙදුම් සේවාදායකය භාවිතයෙන් Python හි ලියා ඇත, ඉවත් කිරීම සමඟ පැච් (CVE හඳුනාගැනීම් තවම පවරා නැත). දින කිහිපයකට පෙර නිකුත් කරන ලද නිකුතුව ඇතුළුව, දැනට පවතින සියලුම ප්ලෝන් නිකුතුවලට ගැටලු බලපායි . Plone 4.3.20, 5.1.7 සහ 5.2.2 හි අනාගත නිකුතු වලදී ගැටළු නිරාකරණය කිරීමට සැලසුම් කර ඇති අතර, එය ප්රකාශනය කිරීමට පෙර එය භාවිතා කිරීමට යෝජනා කෙරේ. .
හඳුනාගත් දුර්වලතා (විස්තර තවමත් අනාවරණය කර නොමැත):
- Rest API හැසිරවීම හරහා වරප්රසාද ඉහළ නැංවීම (plone.restapi සක්රීය කර ඇති විට පමණක් දිස් වේ);
- DTML හි SQL ඉදිකිරීම් සහ DBMS වෙත සම්බන්ධ වීමට ඇති වස්තූන් ප්රමාණවත් ලෙස ගැලවී නොයෑම හේතුවෙන් SQL කේතය ආදේශ කිරීම (ගැටලුව විශේෂිත වේ සහ එය මත පදනම්ව වෙනත් යෙදුම්වල දිස් වේ);
- ලිවීමේ අයිතිය නොමැතිව PUT ක්රමය සමඟ හැසිරවීම් හරහා අන්තර්ගතය නැවත ලිවීමේ හැකියාව;
- පිවිසුම් පෝරමයේ යළි-යොමුවීම් විවෘත කරන්න;
- isURLinPortal චෙක්පත මගහැර අනිෂ්ට බාහිර සබැඳි සම්ප්රේෂණය කිරීමේ හැකියාව;
- සමහර අවස්ථාවලදී මුරපද ශක්තිය පරීක්ෂා කිරීම අසාර්ථක වේ;
- මාතෘකා ක්ෂේත්රයේ කේත ආදේශනය හරහා හරස්-අඩවි විධානාවලිය (XSS).
මූලාශ්රය: opennet.ru