Za brezplačen sistem za upravljanje vsebin , napisano v Pythonu z uporabo aplikacijskega strežnika Zope, obliži z izločanjem (Identifikatorji CVE še niso dodeljeni). Težave zadevajo vse trenutne izdaje Plone, vključno z izdajo, izdano pred nekaj dnevi . Težave naj bi bile odpravljene v prihodnjih izdajah Plone 4.3.20, 5.1.7 in 5.2.2, pred objavo katerih je priporočljivo uporabiti .
Identificirane ranljivosti (podrobnosti še niso razkrite):
- Zvišanje privilegijev z manipulacijo API-ja Rest (prikaže se le, ko je omogočen plone.restapi);
- Zamenjava kode SQL zaradi nezadostnega ubežanja konstruktov SQL v DTML in objektov za povezavo z DBMS (težava je specifična za in se pojavi v drugih aplikacijah, ki temeljijo na njem);
- Sposobnost prepisovanja vsebine z manipulacijami z metodo PUT brez pravic pisanja;
- Odprite preusmeritev v obrazcu za prijavo;
- Možnost prenosa zlonamernih zunanjih povezav mimo preverjanja isURLInPortal;
- Preverjanje moči gesla v nekaterih primerih ne uspe;
- Skriptiranje med spletnimi mesti (XSS) prek zamenjave kode v naslovnem polju.
Vir: opennet.ru