7 Ranljivosti v sistemu za upravljanje vsebin Plone
Za brezplačen sistem za upravljanje vsebin Klon, napisano v Pythonu z uporabo aplikacijskega strežnika Zope, objavljeno obliži z izločanjem 7 ranljivosti (Identifikatorji CVE še niso dodeljeni). Težave zadevajo vse trenutne izdaje Plone, vključno z izdajo, izdano pred nekaj dnevi 5.2.1. Težave naj bi bile odpravljene v prihodnjih izdajah Plone 4.3.20, 5.1.7 in 5.2.2, pred objavo katerih je priporočljivo uporabiti hitri popravek.
Identificirane ranljivosti (podrobnosti še niso razkrite):
Zvišanje privilegijev z manipulacijo API-ja Rest (prikaže se le, ko je omogočen plone.restapi);
Zamenjava kode SQL zaradi nezadostnega ubežanja konstruktov SQL v DTML in objektov za povezavo z DBMS (težava je specifična za Zope in se pojavi v drugih aplikacijah, ki temeljijo na njem);
Sposobnost prepisovanja vsebine z manipulacijami z metodo PUT brez pravic pisanja;
Odprite preusmeritev v obrazcu za prijavo;
Možnost prenosa zlonamernih zunanjih povezav mimo preverjanja isURLInPortal;
Preverjanje moči gesla v nekaterih primerih ne uspe;
Skriptiranje med spletnimi mesti (XSS) prek zamenjave kode v naslovnem polju.