免費內容管理系統 ,使用 Zope 應用伺服器用 Python 編寫, 具有消除功能的補丁 (CVE 標識符尚未分配)。這些問題影響 Plone 的所有當前版本,包括幾天前創建的版本 。這些問題計劃在 Plone 4.3.20、5.1.7 和 5.2.2 的未來版本中修復,在此之前建議使用 .
已發現的漏洞(詳細資訊尚未披露):
- 透過 Rest API 操作提升權限(僅在啟用 plone.restapi 時發生);
- 由於 DTML 和 DBMS 連接物件中 SQL 構造的轉義不足而導致的 SQL 替換(特定於 並出現在基於它的其他應用程式中);
- 無需寫入權限,即可透過操作 PUT 方法重寫內容;
- 在登入表單中開啟重定向;
- 有可能繞過 isURLInPortal 檢查傳輸惡意外部連結;
- 某些情況下密碼強度檢查會失敗;
- 透過標頭欄位中的程式碼替換進行跨站點腳本 (XSS)。
來源: opennet.ru
