مفت مواد کے انتظام کے نظام کے لیے زوپ ایپلیکیشن سرور کا استعمال کرتے ہوئے ازگر میں لکھا گیا، خاتمے کے ساتھ پیچ (CVE شناخت کنندگان کو ابھی تک تفویض نہیں کیا گیا ہے)۔ مسائل Plone کی تمام موجودہ ریلیزز کو متاثر کرتے ہیں، بشمول چند روز قبل جاری کردہ ریلیز . ان مسائل کو Plone 4.3.20، 5.1.7 اور 5.2.2 کے مستقبل کی ریلیز میں طے کرنے کا منصوبہ ہے، جس کی اشاعت سے پہلے اسے استعمال کرنے کی تجویز دی گئی ہے۔ .
شناخت شدہ خطرات (تفصیلات ابھی تک ظاہر نہیں کی گئی ہیں):
- ریسٹ API کی ہیرا پھیری کے ذریعے مراعات کی بلندی (صرف اس وقت ظاہر ہوتا ہے جب plone.restapi فعال ہو)؛
- ڈی ٹی ایم ایل میں ایس کیو ایل کنسٹرکٹس کے ناکافی فرار کی وجہ سے ایس کیو ایل کوڈ کا متبادل اور ڈی بی ایم ایس سے جڑنے کے لیے اشیاء (مسئلہ مخصوص ہے اور اس کی بنیاد پر دیگر ایپلی کیشنز میں ظاہر ہوتا ہے؛
- تحریری حقوق کے بغیر PUT طریقہ کے ساتھ ہیرا پھیری کے ذریعے مواد کو دوبارہ لکھنے کی صلاحیت؛
- لاگ ان فارم میں ری ڈائریکٹ کھولیں؛
- isURLInPortal چیک کو نظرانداز کرتے ہوئے بدنیتی پر مبنی بیرونی لنکس کو منتقل کرنے کا امکان؛
- پاس ورڈ کی مضبوطی کی جانچ کچھ معاملات میں ناکام ہوجاتی ہے۔
- ٹائٹل فیلڈ میں کوڈ متبادل کے ذریعے کراس سائٹ اسکرپٹنگ (XSS)۔
ماخذ: opennet.ru