免費的內容管理系統 ,使用 Zope 應用伺服器用 Python 編寫, 消除補丁 (CVE 標識符尚未分配)。 這些問題影響 Plone 目前的所有版本,包括幾天前發布的版本 。 這些問題計劃在 Plone 4.3.20、5.1.7 和 5.2.2 的未來版本中修復,在發布之前建議使用 .
已識別的漏洞(詳細資訊尚未披露):
- 透過操作 Rest API 提升權限(僅在啟用 plone.restapi 時出現);
- 由於 DTML 中的 SQL 構造和連接到 DBMS 的物件的轉義不足而導致 SQL 程式碼的替換(該問題特定於 並出現在基於它的其他應用程式中);
- 能夠透過使用 PUT 方法進行操作來重寫內容,而無需寫入權限;
- 在登入表單中開啟重定向;
- 繞過 isURLInPortal 檢查傳輸惡意外部連結的可能性;
- 某些情況下密碼強度檢查失敗;
- 透過標題欄位中的程式碼替換進行跨網站腳本攻擊 (XSS)。
來源: opennet.ru