免費的內容管理系統
已識別的漏洞(詳細資訊尚未披露):
- 透過操作 Rest API 提升權限(僅在啟用 plone.restapi 時出現);
- 由於 DTML 中的 SQL 構造和連接到 DBMS 的物件的轉義不足而導致 SQL 程式碼的替換(該問題特定於
佐佩 並出現在基於它的其他應用程式中); - 能夠透過使用 PUT 方法進行操作來重寫內容,而無需寫入權限;
- 在登入表單中開啟重定向;
- 繞過 isURLInPortal 檢查傳輸惡意外部連結的可能性;
- 某些情況下密碼強度檢查失敗;
- 透過標題欄位中的程式碼替換進行跨網站腳本攻擊 (XSS)。
來源: opennet.ru