Accesscontrol
Уязвимости
4
Эксплуатируемые
0
Макс. CVSS
8.7
Макс. EPSS
0.02277
Распределение по критичности
Критический
0
Высокий
4
Средний
0
Низкий
0
Затронутые диапазоны версий
4.0–4.3< 4.4< 7.2
Также сопоставлено как (исходные строки): accesscontrol,zope
Топ уязвимостей
CVE-2024-51734Zope AccessControl предоставляет общую структуру безопасности для использования в Zope. В затронутых версиях анонимные пользователи могут удалять пользовательские данные, хранящиеся в `AccessControl.userfolder.UserFolder`, что может предотвратить любой привилегированный доступ. Эта проблема была исправлена в версии 7.2. Пользователям рекомендуется обновиться. Пользователи, не имеющие возможности обновиться, могут решить проблему, добавив `data__roles__ = ()` в `AccessControl.userfolder.UserFolder`.
CVE-2023-41050AccessControl предоставляет общую структуру безопасности для использования в Zope. Функция Python "format" позволяет тому, кто контролирует строку формата, "читать" объекты, доступные (рекурсивно) через доступ к атрибутам и подписку из доступных объектов. Эти доступы к атрибутам и подписки используют полнофункциональные `getattr` и `getitem` Python, а не варианты `_getattr_` и `_getitem_`, ограниченные политикой `AccessControl`. Это может привести к раскрытию критической информации. `AccessControl` уже предоставляет безопасный вариант для `str.format` и запрещает доступ к `string.Formatter`. Однако `str.format_map` по-прежнему небезопасен. Затронуты все пользователи, которые позволяют ненадежным пользователям создавать управляемый `AccessControl` код Python и выполнять его. Исправление было внесено в версии 4.4, 5.8 и 6.2. Пользователям рекомендуется обновиться. Обходные пути для этой уязвимости отсутствуют.
CVE-2021-32811Zope - это веб-сервер приложений с открытым исходным кодом. Версии Zope до версий 4.6.3 и 5.3 имеют проблему безопасности, связанную с удаленным выполнением кода. Чтобы пострадать, необходимо использовать Python 3 для развертывания Zope, запустить Zope 4 ниже версии 4.6.3 или Zope 5 ниже версии 5.3 и установить дополнительный пакет `Products.PythonScripts`. По умолчанию необходимо иметь роль Zope "Manager" уровня администратора, чтобы добавлять или редактировать объекты Script (Python) через Интернет. Риску подвержены только сайты, которые позволяют ненадежным пользователям добавлять/редактировать эти скрипты через Интернет. Zope выпусков 4.6.3 и 5.3 не уязвимы. В качестве обходного пути администратор сайта может ограничить добавление/редактирование объектов Script (Python) через Интернет, используя стандартные механизмы разрешений пользователя/роли Zope. Ненадежным пользователям не следует назначать роль Zope Manager, а добавление/редактирование этих скриптов через Интернет следует ограничивать только доверенными пользователями. Это конфигурация по умолчанию в Zope.
CVE-2021-32807Модуль `AccessControl` определяет политики безопасности для кода Python, используемого в ограниченном коде в приложениях Zope. Ограниченный код - это любой код, который находится в объектной базе данных Zope, такой как содержимое объектов `Script (Python)`. Политики, определенные в `AccessControl`, серьезно ограничивают доступ к модулям Python и освобождают только несколько, которые считаются безопасными, такие как модуль Python `string`. Однако полный доступ к модулю `string` также позволяет получить доступ к классу `Formatter`, который можно переопределить и расширить в `Script (Python)` таким образом, чтобы обеспечить доступ к другим небезопасным библиотекам Python. Эти небезопасные библиотеки Python можно использовать для удаленного выполнения кода. По умолчанию вам необходимо иметь роль Zope "Manager" уровня администратора, чтобы добавлять или редактировать объекты `Script (Python)` через Интернет. Риску подвержены только сайты, которые позволяют ненадежным пользователям добавлять/редактировать эти скрипты через Интернет, что было бы очень необычной конфигурацией. Проблема была исправлена в AccessControl 4.3 и 5.2. Уязвимы только версии AccessControl 4 и 5 и только в Python 3, а не в Python 2.7. В качестве обходного пути администратор сайта может ограничить добавление/редактирование объектов `Script (Python)` через Интернет, используя стандартные механизмы разрешений пользователя/роли Zope. Ненадежным пользователям не следует назначать роль Zope Manager, а добавление/редактирование этих скриптов через Интернет следует ограничивать только доверенными пользователями. Это конфигурация по умолчанию в Zope.