Для свободной системы управления контентом Plone, написанной на языке Python с использованием сервера приложений Zope, опубликованы патчи с устранением 7 уязвимостей (CVE-идентификаторы пока не присвоены). Проблемы затрагивают все актуальные выпуски Plone, включая сформированный несколько дней назад выпуск 5.2.1. Проблемы планируется устранить в будущих выпусках Plone 4.3.20, 5.1.7 и 5.2.2, до публикации которых предлагается использовать hotfix.

Выявленные уязвимости (детали пока не раскрываются):

• Повышение привилегий через манипуляцию с Rest API (проявляется только при включении plone.restapi);
• Подстановка SQL-кода из-за недостаточного экранирования SQL-конструкций в DTML и объектах для соединения с СУБД (проблема специфична для Zope и проявляется в других приложениях на его основе);
• Возможность перезаписи контента через манипуляции с методом PUT без наличия прав на запись;
• Открытый редирект в форме входа;
• Возможность передачи вредоносных внешних ссылок в обход проверки isURLInPortal;
• Несрабатывание проверки надёжности пароля в некоторых случаях;
• Межсайтовый скриптинг (XSS) через подстановку кода в поле с заголовком.