Pre bezplatný redakčný systém lietadlo, napísaný v Pythone pomocou aplikačného servera Zope, publikovaný náplasti s elimináciou 7 zraniteľností (identifikátory CVE ešte neboli priradené). Problémy ovplyvňujú všetky aktuálne vydania Plone, vrátane vydania vydaného pred niekoľkými dňami 5.2.1. Problémy sa plánujú opraviť v budúcich vydaniach Plone 4.3.20, 5.1.7 a 5.2.2, pred zverejnením ktorých sa odporúča použiť hotfix.
Identifikované slabé miesta (podrobnosti zatiaľ nie sú zverejnené):
Zvýšenie privilégií prostredníctvom manipulácie s Rest API (zobrazí sa iba vtedy, keď je povolený plone.restapi);
Náhrada SQL kódu z dôvodu nedostatočného escapovania SQL konštruktov v DTML a objektov pre pripojenie k DBMS (problém je špecifický pre Zope a objavuje sa v iných aplikáciách, ktoré sú na ňom založené);
Schopnosť prepisovať obsah pomocou manipulácií s metódou PUT bez toho, aby ste mali práva na zápis;
Otvorte presmerovanie v prihlasovacom formulári;
Možnosť prenosu škodlivých externých odkazov obchádzaním kontroly isURLInPortal;
Kontrola sily hesla v niektorých prípadoch zlyhá;
Cross-site scripting (XSS) prostredníctvom nahradenia kódu v poli názvu.