ఉచిత కంటెంట్ మేనేజ్మెంట్ సిస్టమ్ కోసం , జోప్ అప్లికేషన్ సర్వర్ని ఉపయోగించి పైథాన్లో వ్రాయబడింది, తొలగింపుతో పాచెస్ (CVE ఐడెంటిఫైయర్లు ఇంకా కేటాయించబడలేదు). కొన్ని రోజుల క్రితం విడుదలైన విడుదలతో సహా ప్లోన్ యొక్క అన్ని ప్రస్తుత విడుదలలను సమస్యలు ప్రభావితం చేస్తాయి . ప్లోన్ 4.3.20, 5.1.7 మరియు 5.2.2 యొక్క భవిష్యత్తు విడుదలలలో సమస్యలను పరిష్కరించేందుకు ప్రణాళిక చేయబడింది, వీటిని ప్రచురించడానికి ముందు ఉపయోగించమని సూచించబడింది .
గుర్తించబడిన దుర్బలత్వాలు (వివరాలు ఇంకా వెల్లడించలేదు):
- రెస్ట్ API (plone.restapi ఎనేబుల్ చేయబడినప్పుడు మాత్రమే కనిపిస్తుంది) యొక్క తారుమారు ద్వారా అధికారాల ఎలివేషన్;
- DTMLలో SQL నిర్మాణాలు మరియు DBMSకి కనెక్ట్ చేయడానికి ఆబ్జెక్ట్లు తగినంతగా తప్పించుకోవడం వలన SQL కోడ్ యొక్క ప్రత్యామ్నాయం (సమస్య ప్రత్యేకంగా ఉంటుంది మరియు దాని ఆధారంగా ఇతర అప్లికేషన్లలో కనిపిస్తుంది);
- వ్రాత హక్కులు లేకుండా PUT పద్ధతితో మానిప్యులేషన్ల ద్వారా కంటెంట్ను తిరిగి వ్రాయగల సామర్థ్యం;
- లాగిన్ రూపంలో దారి మళ్లింపును తెరవండి;
- isURLinPortal తనిఖీని దాటవేయడం ద్వారా హానికరమైన బాహ్య లింక్లను ప్రసారం చేసే అవకాశం;
- పాస్వర్డ్ బలం తనిఖీ కొన్ని సందర్భాల్లో విఫలమవుతుంది;
- టైటిల్ ఫీల్డ్లో కోడ్ ప్రత్యామ్నాయం ద్వారా క్రాస్-సైట్ స్క్రిప్టింగ్ (XSS).
మూలం: opennet.ru