免费的内容管理系统
已识别的漏洞(详细信息尚未披露):
- 通过操作 Rest API 提升权限(仅在启用 plone.restapi 时出现);
- 由于 DTML 中的 SQL 构造和连接到 DBMS 的对象的转义不足而导致 SQL 代码的替换(该问题特定于
佐佩 并出现在基于它的其他应用程序中); - 能够通过使用 PUT 方法进行操作来重写内容,而无需写入权限;
- 在登录表单中打开重定向;
- 绕过 isURLInPortal 检查传输恶意外部链接的可能性;
- 某些情况下密码强度检查失败;
- 通过标题字段中的代码替换进行跨站点脚本攻击 (XSS)。
来源: opennet.ru