Барои системаи идоракунии мундариҷаи ройгон , дар Python бо истифода аз сервери замимаи Zope навишта шудааст, часпакҳо бо бартарафкунӣ (Идентификаторҳои CVE ҳанӯз таъин нашудаанд). Мушкилот ба ҳама релизҳои ҷории Plone, аз ҷумла нашри чанд рӯз пеш нашршуда таъсир мерасонад . Ба нақша гирифта шудааст, ки масъалаҳо дар релизҳои ояндаи Plone 4.3.20, 5.1.7 ва 5.2.2, ки пеш аз нашри онҳо истифода мешаванд, ҳал карда шаванд. .
Осебҳои муайяншуда (тафсилот ҳоло ошкор нашудааст):
- Баланд бардоштани имтиёзҳо тавассути коркарди API Rest (танҳо ҳангоми фаъол шудани plone.restapi пайдо мешавад);
- Иваз кардани коди SQL аз сабаби нокифоя гурехтани конструксияҳои SQL дар DTML ва объектҳо барои пайвастшавӣ ба DBMS (мушкилот хос аст ва дар дигар замимаҳо дар асоси он пайдо мешавад);
- Имконияти аз нав навиштани мундариҷа тавассути коркард бо усули PUT бе ҳуқуқи навиштан;
- Дар шакли воридшавӣ масирро кушоед;
- Имконияти интиқоли истинодҳои берунаи зараровар, ки аз чеки isURLInPortal гузашт;
- Санҷиши қувваи парол дар баъзе ҳолатҳо ноком мешавад;
- Скрипти байнисоҳавӣ (XSS) тавассути иваз кардани код дар майдони унвон.
Манбаъ: opennet.ru