Plone3
Уязвимости
18
Эксплуатируемые
0
Макс. CVSS
10
Макс. EPSS
0.13355
Распределение по критичности
Критический
1
Высокий
4
Средний
12
Низкий
1
Также сопоставлено как (исходные строки): plone3
Топ уязвимостей
CVE-2008-1393Plone CMS 3.0.5 и, вероятно, другие версии 3.x помещают форму имени пользователя и пароля, закодированную в base64, в файл cookie __ac для учетной записи администратора, что упрощает удаленным злоумышленникам получение административных привилегий путем перехвата трафика в сети.
CVE-2011-2528Неуказанная уязвимость в (1) Zope 2.12.x до 2.12.19 и 2.13.x до 2.13.8, используемом в Plone 4.x и других продуктах, и (2) PloneHotfix20110720 для Plone 3.x позволяет злоумышленникам получить привилегии через неуказанные векторы, связанные с "очень серьезной уязвимостью". ПРИМЕЧАНИЕ: эта уязвимость существует из-за неправильного исправления CVE-2011-0720.
CVE-2011-0720Неуказанная уязвимость в Plone 2.5 до 4.0, используемая в Conga, luci и, возможно, других продуктах, позволяет удаленным злоумышленникам получить административный доступ, читать или создавать произвольный контент и изменять скин сайта через неизвестные векторы.
CVE-2008-1395Plone CMS не записывает состояния аутентификации пользователей и реализует функцию выхода из системы исключительно на стороне клиента, что упрощает зависящим от контекста злоумышленникам повторное использование сеанса, из которого был выполнен выход.
CVE-2011-2538Cisco Video Communications Server (VCS) до X7.0.3 содержит уязвимость внедрения команд, которая позволяет удаленным аутентифицированным злоумышленникам выполнять произвольные команды.
CVE-2009-0662Продукт PlonePAS 3.x до 3.9 и 3.2.x до 3.2.2, продукт для Plone, неправильно обрабатывает форму входа, что позволяет удаленным аутентифицированным пользователям получить идентификацию произвольного пользователя через неуказанные векторы.
CVE-2011-4462Plone 4.1.3 и более ранние версии вычисляет хеш-значения для параметров формы, не ограничивая возможность предсказуемо вызывать коллизии хешей, что позволяет удаленным злоумышленникам вызывать отказ в обслуживании (потребление ЦП), отправляя множество специально созданных параметров.
CVE-2007-2383Фреймворк Prototype (prototypejs) до версии 1.5.1 RC3 обменивается данными, используя нотацию объектов JavaScript (JSON) без связанной схемы защиты, что позволяет удаленным злоумышленникам получать данные через веб-страницу, которая извлекает данные через URL в атрибуте SRC элемента SCRIPT и захватывает данные с помощью другого кода JavaScript, также известного как "JavaScript Hijacking".
CVE-2010-2422Уязвимость межсайтового скриптинга (XSS) в PortalTransforms в Plone 2.1 до 3.3.4 до исправления 20100612 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через преобразование safe_html.
CVE-2011-4030Компонент CMFEditions 2.x в Plone 4.0.x - 4.0.9, 4.1 и 4.2 - 4.2a2 не предотвращает публикацию классов KwAsAttributes, что позволяет удаленным злоумышленникам получать доступ к суб-объектам через неопределенные векторы, уязвимость, отличная от CVE-2011-3587.
CVE-2011-1949Межсайтовый скриптинг (XSS) в фильтре safe_html в Products.PortalTransforms в Plone 2.1 до 4.1 позволяет удаленным аутентифицированным пользователям внедрять произвольный веб-скрипт или HTML через неуказанные векторы, что является другой уязвимостью, чем CVE-2010-2422.
CVE-2011-1948Межсайтовый скриптинг (XSS) в Plone 4.1 и более ранних версиях позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через специально созданный URL.
CVE-2011-1340Уязвимость межсайтового скриптинга (XSS) в skins/plone_templates/default_error_message.pt в Plone до версии 2.5.3 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через параметр type_name в Members/ipa/createObject.
CVE-2008-7220Неуказанная уязвимость в Prototype JavaScript framework (prototypejs) до версии 1.6.0.2 позволяет злоумышленникам осуществлять "межсайтовые ajax-запросы" через неизвестные векторы.
CVE-2008-4571Межсайтовый скриптинг (XSS) в модуле LiveSearch в Plone до версии 3.0.4 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через поле Description для результатов поиска, как продемонстрировано с использованием события Javascript onerror в теге IMG.
CVE-2008-1396Plone CMS 3.x использует инвариантные данные (имя пользователя клиента и секрет сервера) при вычислении значения HMAC-SHA1 для файла cookie аутентификации, что упрощает удаленным злоумышленникам получение постоянного доступа к учетной записи путем перехвата трафика в сети.
CVE-2008-0164Множественные уязвимости межсайтовой подделки запросов (CSRF) в Plone CMS 3.0.5 и 3.0.6 позволяют удаленным злоумышленникам (1) добавлять произвольные учетные записи через страницу join_form и (2) изменять привилегии произвольных групп через страницу prefs_groups_overview.
CVE-2011-1950plone.app.users в Plone 4.0 и 4.1 позволяет удаленным аутентифицированным пользователям изменять свойства произвольных учетных записей через неуказанные векторы, что использовалось в дикой природе в июне 2011 года.