Për një sistem të menaxhimit të përmbajtjes falas , shkruar në Python duke përdorur serverin e aplikacionit Zope, arna me eliminim (Identifikuesit CVE ende nuk janë caktuar). Problemet prekin të gjitha publikimet aktuale të Plone, përfshirë atë të lëshuar disa ditë më parë . Problemet janë planifikuar të rregullohen në publikimet e ardhshme të Plone 4.3.20, 5.1.7 dhe 5.2.2, përpara publikimit të të cilave sugjerohet përdorimi .
Dobësitë e identifikuara (detajet nuk janë zbuluar ende):
- Ngritja e privilegjeve përmes manipulimit të Rest API (shfaqet vetëm kur aktivizohet plone.restapi);
- Zëvendësimi i kodit SQL për shkak të ikjes së pamjaftueshme të konstrukteve SQL në DTML dhe objekteve për t'u lidhur me DBMS (problemi është specifik për dhe shfaqet në aplikacione të tjera bazuar në të);
- Aftësia për të rishkruar përmbajtjen përmes manipulimeve me metodën PUT pa pasur të drejta shkrimi;
- Hapni ridrejtimin në formën e hyrjes;
- Mundësia e transmetimit të lidhjeve të jashtme me qëllim të keq duke anashkaluar kontrollin isURLInPortal;
- Kontrolli i fuqisë së fjalëkalimit dështon në disa raste;
- Skriptimi në faqe (XSS) përmes zëvendësimit të kodit në fushën e titullit.
Burimi: opennet.ru