Bepul kontentni boshqarish tizimi uchun , Zope dastur serveri yordamida Python tilida yozilgan, yo'q qilish bilan yamoqlar (CVE identifikatorlari hali tayinlanmagan). Muammolar Plone-ning barcha joriy relizlariga, shu jumladan bir necha kun oldin chiqarilgan relizga ta'sir qiladi . Muammolarni Plone 4.3.20, 5.1.7 va 5.2.2 ning kelgusi nashrlarida hal qilish rejalashtirilgan, nashr etilishidan oldin undan foydalanish tavsiya etiladi. .
Aniqlangan zaifliklar (tafsilotlar hali oshkor etilmagan):
- Rest API-ni manipulyatsiya qilish orqali imtiyozlarni oshirish (faqat plone.restapi yoqilganda paydo bo'ladi);
- DTML dagi SQL konstruksiyalari va ma'lumotlar bazasiga ulanish ob'ektlari etarli darajada qochib ketganligi sababli SQL kodini almashtirish (muammo o'ziga xosdir. va unga asoslangan boshqa ilovalarda paydo bo'ladi);
- Yozish huquqiga ega bo'lmasdan PUT usuli bilan manipulyatsiyalar orqali tarkibni qayta yozish imkoniyati;
- Kirish shaklida qayta yo'naltirishni oching;
- isURLInPortal tekshiruvini chetlab o'tgan zararli tashqi havolalarni uzatish imkoniyati;
- Parol kuchini tekshirish ba'zi hollarda muvaffaqiyatsiz tugadi;
- Sarlavha maydonida kodni almashtirish orqali saytlararo skript (XSS).
Manba: opennet.ru