Pre bezplatný redakčný systém , napísaný v Pythone pomocou aplikačného servera Zope, náplasti s elimináciou (identifikátory CVE ešte neboli priradené). Problémy ovplyvňujú všetky aktuálne vydania Plone, vrátane vydania vydaného pred niekoľkými dňami . Problémy sa plánujú opraviť v budúcich vydaniach Plone 4.3.20, 5.1.7 a 5.2.2, pred zverejnením ktorých sa odporúča použiť .
Identifikované slabé miesta (podrobnosti zatiaľ nie sú zverejnené):
- Zvýšenie privilégií prostredníctvom manipulácie s Rest API (zobrazí sa iba vtedy, keď je povolený plone.restapi);
- Náhrada SQL kódu z dôvodu nedostatočného escapovania SQL konštruktov v DTML a objektov pre pripojenie k DBMS (problém je špecifický pre a objavuje sa v iných aplikáciách, ktoré sú na ňom založené);
- Schopnosť prepisovať obsah pomocou manipulácií s metódou PUT bez toho, aby ste mali práva na zápis;
- Otvorte presmerovanie v prihlasovacom formulári;
- Možnosť prenosu škodlivých externých odkazov obchádzaním kontroly isURLInPortal;
- Kontrola sily hesla v niektorých prípadoch zlyhá;
- Cross-site scripting (XSS) prostredníctvom nahradenia kódu v poli názvu.
Zdroj: opennet.ru