免费的内容管理系统 ,使用 Zope 应用服务器用 Python 编写, 消除补丁 (CVE 标识符尚未分配)。 这些问题影响 Plone 当前的所有版本,包括几天前发布的版本 。 这些问题计划在 Plone 4.3.20、5.1.7 和 5.2.2 的未来版本中修复,在发布之前建议使用 .
已识别的漏洞(详细信息尚未披露):
- 通过操作 Rest API 提升权限(仅在启用 plone.restapi 时出现);
- 由于 DTML 中的 SQL 构造和连接到 DBMS 的对象的转义不足而导致 SQL 代码的替换(该问题特定于 并出现在基于它的其他应用程序中);
- 能够通过使用 PUT 方法进行操作来重写内容,而无需写入权限;
- 在登录表单中打开重定向;
- 绕过 isURLInPortal 检查传输恶意外部链接的可能性;
- 某些情况下密码强度检查失败;
- 通过标题字段中的代码替换进行跨站点脚本攻击 (XSS)。
来源: opennet.ru