Para sa isang libreng sistema ng pamamahala ng nilalaman , nakasulat sa Python gamit ang Zope application server, mga patch na may pag-aalis (Hindi pa naitalaga ang mga identifier ng CVE). Ang mga problema ay nakakaapekto sa lahat ng kasalukuyang release ng Plone, kabilang ang release na inilabas ilang araw na ang nakalipas . Ang mga isyu ay binalak na ayusin sa hinaharap na mga release ng Plone 4.3.20, 5.1.7 at 5.2.2, bago ang paglalathala kung saan iminumungkahi na gamitin .
Mga natukoy na kahinaan (hindi pa nabubunyag ang mga detalye):
- Pagtaas ng mga pribilehiyo sa pamamagitan ng pagmamanipula ng Rest API (lumalabas lamang kapag pinagana ang plone.restapi);
- Pagpapalit ng SQL code dahil sa hindi sapat na pagtakas ng mga SQL construct sa DTML at mga bagay para sa pagkonekta sa DBMS (ang problema ay tiyak sa at lumilitaw sa iba pang mga application batay dito);
- Ang kakayahang muling isulat ang nilalaman sa pamamagitan ng mga manipulasyon gamit ang pamamaraang PUT nang walang mga karapatan sa pagsulat;
- Buksan ang pag-redirect sa form sa pag-login;
- Posibilidad ng pagpapadala ng mga nakakahamak na panlabas na link na lumalampas sa isURLInPortal check;
- Nabigo ang pagsusuri sa lakas ng password sa ilang mga kaso;
- Cross-site scripting (XSS) sa pamamagitan ng pagpapalit ng code sa field ng pamagat.
Pinagmulan: opennet.ru