För ett gratis innehållshanteringssystem , skriven i Python med hjälp av Zope-applikationsservern, plåster med eliminering (CVE-identifierare har ännu inte tilldelats). Problemen påverkar alla aktuella utgåvor av Plone, inklusive utgåvan som släpptes för några dagar sedan . Problemen är planerade att åtgärdas i framtida utgåvor av Plone 4.3.20, 5.1.7 och 5.2.2, innan publicering av vilka det rekommenderas att användas .
Identifierade sårbarheter (detaljerna har ännu inte avslöjats):
- Förhöjning av privilegier genom manipulering av Rest API (visas endast när plone.restapi är aktiverat);
- Ersättning av SQL-kod på grund av otillräcklig escape av SQL-konstruktioner i DTML och objekt för anslutning till DBMS (problemet är specifikt för och visas i andra applikationer baserade på det);
- Möjligheten att skriva om innehåll genom manipulationer med PUT-metoden utan att ha skrivrättigheter;
- Öppna omdirigering i inloggningsformuläret;
- Möjlighet att överföra skadliga externa länkar som går förbi isURLInPortal-kontrollen;
- Kontroll av lösenordsstyrka misslyckas i vissa fall;
- Cross-site scripting (XSS) genom kodsubstitution i rubrikfältet.
Källa: opennet.ru