Kwa mfumo wa usimamizi wa maudhui bila malipo , iliyoandikwa kwa Python kwa kutumia seva ya programu ya Zope, patches na kuondolewa (Vitambulisho vya CVE bado havijakabidhiwa). Matatizo huathiri matoleo yote ya sasa ya Plone, ikiwa ni pamoja na toleo lililotolewa siku chache zilizopita . Masuala hayo yamepangwa kusuluhishwa katika matoleo yajayo ya Plone 4.3.20, 5.1.7 na 5.2.2, kabla ya kuchapishwa ambayo inapendekezwa kutumiwa. .
Udhaifu uliotambuliwa (maelezo bado hayajafichuliwa):
- Kuinua marupurupu kupitia uchezaji wa Rest API (huonekana tu wakati plone.restapi imewashwa);
- Uingizwaji wa nambari ya SQL kwa sababu ya kutoroka kwa kutosha kwa miundo ya SQL katika DTML na vitu vya kuunganishwa na DBMS (tatizo ni maalum kwa na inaonekana katika programu zingine kulingana nayo);
- Uwezo wa kuandika upya maudhui kupitia upotoshaji na mbinu ya PUT bila kuwa na haki za kuandika;
- Fungua uelekezaji upya katika fomu ya kuingia;
- Uwezekano wa kutuma viungo hasidi vya nje kwa kupita ukaguzi wa isURLInPortal;
- Ukaguzi wa nguvu ya nenosiri hushindwa katika baadhi ya matukio;
- Uandishi wa tovuti tofauti (XSS) kupitia ubadilishaji wa msimbo katika sehemu ya kichwa.
Chanzo: opennet.ru