Zope
Уязвимости
37
Эксплуатируемые
0
Макс. CVSS
10
Макс. EPSS
0.78546
Распределение по критичности
Критический
1
Высокий
15
Средний
15
Низкий
6
Затронутые диапазоны версий
2.7.0–2.7.82.8.0–2.8.124.0–4.6.34.0–4.8.11< 2.5.1< 4.6< 4.6.1< 4.8.10< 4.8.9< 5.11.1≤ 2.10.2≤ 2.11.2≤ 2.13.10≤ 2.13.18≤ 2.2.4≤ 2.3.1_b1≤ 2.5.1b1
Также сопоставлено как (исходные строки): linux_powertools,linux_distro,zope,plone,accesscontrol
Топ уязвимостей
CVE-2000-0062Реализация DTML в Z Object Publishing Environment (Zope) позволяет удаленным злоумышленникам осуществлять несанкционированные действия.
CVE-2021-32674Zope — это сервер веб-приложений с открытым исходным кодом. Эта рекомендация расширяет предыдущую рекомендацию по адресу https://github.com/zopefoundation/Zope/security/advisories/GHSA-5pr9-v234-jw36 дополнительными случаями уязвимостей обхода выражений TAL. Большинство модулей Python недоступны для использования в выражениях TAL, которые можно добавлять через веб-интерфейс, например, в шаблонах страниц Zope. Это ограничение позволяет избежать доступа к файловой системе, например, через модуль 'os'. Но некоторые из ненадежных модулей доступны косвенно через модули Python, которые доступны для непосредственного использования. По умолчанию вам необходимо иметь роль менеджера, чтобы добавлять или редактировать шаблоны страниц Zope через веб-интерфейс. Риску подвержены только сайты, которые позволяют ненадежным пользователям добавлять/редактировать шаблоны страниц Zope через веб-интерфейс. Проблема была исправлена в Zope 5.2.1 и 4.6.1. Обходной путь такой же, как и для https://github.com/zopefoundation/Zope/security/advisories/GHSA-5pr9-v234-jw36: Администратор сайта может ограничить добавление/редактирование шаблонов страниц Zope через веб-интерфейс, используя стандартные механизмы разрешений пользователей/ролей Zope. Ненадежным пользователям не следует назначать роль менеджера Zope, а добавление/редактирование шаблонов страниц Zope через веб-интерфейс следует ограничивать только доверенными пользователями.
CVE-2021-32633Zope - это сервер веб-приложений с открытым исходным кодом. В версиях Zope до 4.6 и 5.2 пользователи могут получить доступ к ненадежным модулям косвенно через модули Python, которые доступны для непосредственного использования. По умолчанию только пользователи с ролью Manager могут добавлять или редактировать шаблоны страниц Zope через Интернет, но сайты, которые позволяют ненадежным пользователям добавлять/редактировать шаблоны страниц Zope через Интернет, подвержены риску этой уязвимости. Проблема была устранена в Zope 5.2 и 4.6. В качестве обходного пути администратор сайта может ограничить добавление/редактирование шаблонов страниц Zope через Интернет, используя стандартные механизмы разрешений пользователей/ролей Zope. Ненадежным пользователям не следует назначать роль Zope Manager, а добавление/редактирование шаблонов страниц Zope через Интернет следует ограничить только для доверенных пользователей.
CVE-2024-51734Zope AccessControl предоставляет общую структуру безопасности для использования в Zope. В затронутых версиях анонимные пользователи могут удалять пользовательские данные, хранящиеся в `AccessControl.userfolder.UserFolder`, что может предотвратить любой привилегированный доступ. Эта проблема была исправлена в версии 7.2. Пользователям рекомендуется обновиться. Пользователи, не имеющие возможности обновиться, могут решить проблему, добавив `data__roles__ = ()` в `AccessControl.userfolder.UserFolder`.
CVE-2023-41050AccessControl предоставляет общую структуру безопасности для использования в Zope. Функция Python "format" позволяет тому, кто контролирует строку формата, "читать" объекты, доступные (рекурсивно) через доступ к атрибутам и подписку из доступных объектов. Эти доступы к атрибутам и подписки используют полнофункциональные `getattr` и `getitem` Python, а не варианты `_getattr_` и `_getitem_`, ограниченные политикой `AccessControl`. Это может привести к раскрытию критической информации. `AccessControl` уже предоставляет безопасный вариант для `str.format` и запрещает доступ к `string.Formatter`. Однако `str.format_map` по-прежнему небезопасен. Затронуты все пользователи, которые позволяют ненадежным пользователям создавать управляемый `AccessControl` код Python и выполнять его. Исправление было внесено в версии 4.4, 5.8 и 6.2. Пользователям рекомендуется обновиться. Обходные пути для этой уязвимости отсутствуют.
CVE-2011-2528Неуказанная уязвимость в (1) Zope 2.12.x до 2.12.19 и 2.13.x до 2.13.8, используемом в Plone 4.x и других продуктах, и (2) PloneHotfix20110720 для Plone 3.x позволяет злоумышленникам получить привилегии через неуказанные векторы, связанные с "очень серьезной уязвимостью". ПРИМЕЧАНИЕ: эта уязвимость существует из-за неправильного исправления CVE-2011-0720.
CVE-2005-3323docutils в Zope 2.6, 2.7 до 2.7.8 и 2.8 до 2.8.2 позволяет удаленным злоумышленникам включать произвольные файлы через директивы include в функциональности RestructuredText.
CVE-2002-0688Возможность поддержки индексов подключаемого модуля ZCatalog для Zope 2.4.0 через 2.5.1 позволяет анонимным пользователям и ненадежному коду обходить ограничения доступа и вызывать произвольные методы индексов каталога.
CVE-2002-0170Zope 2.2.0 through 2.5.1 неправильно проверяет доступ к объектам с ролями прокси, что может позволить некоторым пользователям получать доступ к документам в нарушение предполагаемой конфигурации.
CVE-2001-1278Zope до версии 2.2.4 позволяет частично доверенным пользователям обходить средства контроля безопасности для определенных методов, получая доступ к методам через атрибут fmt тегов dtml-var.
CVE-2001-1227Zope до версии 2.2.4 позволяет частично доверенным пользователям обходить средства контроля безопасности для определенных методов, получая доступ к методам через атрибут fmt тегов dtml-var.
CVE-2000-1211Zope 2.2.0 до 2.2.4 неправильно выполняет регистрацию безопасности для устаревших имен конструкторов объектов, таких как объекты методов DTML, что может позволить злоумышленникам выполнять несанкционированные действия.
CVE-2000-0483Пакет DocumentTemplate в Zope 2.2 и более ранних версиях позволяет удаленному злоумышленнику изменять DTMLDocuments или DTMLMethods без авторизации.
CVE-2021-32811Zope - это веб-сервер приложений с открытым исходным кодом. Версии Zope до версий 4.6.3 и 5.3 имеют проблему безопасности, связанную с удаленным выполнением кода. Чтобы пострадать, необходимо использовать Python 3 для развертывания Zope, запустить Zope 4 ниже версии 4.6.3 или Zope 5 ниже версии 5.3 и установить дополнительный пакет `Products.PythonScripts`. По умолчанию необходимо иметь роль Zope "Manager" уровня администратора, чтобы добавлять или редактировать объекты Script (Python) через Интернет. Риску подвержены только сайты, которые позволяют ненадежным пользователям добавлять/редактировать эти скрипты через Интернет. Zope выпусков 4.6.3 и 5.3 не уязвимы. В качестве обходного пути администратор сайта может ограничить добавление/редактирование объектов Script (Python) через Интернет, используя стандартные механизмы разрешений пользователя/роли Zope. Ненадежным пользователям не следует назначать роль Zope Manager, а добавление/редактирование этих скриптов через Интернет следует ограничивать только доверенными пользователями. Это конфигурация по умолчанию в Zope.
CVE-2001-0128Zope до версии 2.2.4 неправильно вычисляет локальные роли, что может позволить пользователям обходить указанные ограничения доступа и получать привилегии.
CVE-2000-0725Zope до версии 2.2.1 неправильно ограничивает доступ к методу getRoles, что позволяет пользователям, которые могут редактировать DTML, добавлять или изменять роли, изменяя список ролей, включенный в запрос.
CVE-2011-3587Неуказанная уязвимость в Zope 2.12.x и 2.13.x, используемая в Plone 4.0.x до 4.0.9, 4.1 и 4.2 до 4.2a2, позволяет удаленным злоумышленникам выполнять произвольные команды через векторы, связанные с классом p_ в OFS/misc_.py и использованием модулей Python.
CVE-2021-33507Zope Products.CMFCore до версии 2.5.1 и Products.PluggableAuthService до версии 2.6.2, используемые в Plone до версии 5.2.4 и других продуктах, допускают отраженный XSS.
CVE-2011-4924Уязвимость межсайтового скриптинга (XSS) в Zope 2.8.x до 2.8.12, 2.9.x до 2.9.12, 2.10.x до 2.10.11, 2.11.x до 2.11.6 и 2.12.x до 2.12.3, 3.1.1 до 3.4.1 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через векторы, связанные со способом, которым сообщения об ошибках выполняют очистку. ПРИМЕЧАНИЕ: эта проблема существует из-за неполного исправления CVE-2010-1104.
CVE-2023-42458Zope — это сервер веб-приложений с открытым исходным кодом. До версий 4.8.10 и 5.8.5 существует уязвимость кросс-сайтового скриптинга для изображений SVG. Обратите внимание, что тег изображения с изображением SVG в качестве источника никогда не уязвим, даже если изображение SVG содержит вредоносный код. Чтобы эксплуатировать уязвимость, злоумышленнику сначала нужно будет загрузить изображение, а затем обмануть пользователя, чтобы он перешел по специально созданной ссылке. Патчи доступны в Zope 4.8.10 и 5.8.5. В качестве обходного пути убедитесь, что разрешение «Добавить документы, изображения и файлы» назначено только доверенным ролям. По умолчанию только управляющий имеет это разрешение.
CVE-2010-3198ZServer в Zope 2.10.x до 2.10.12 и 2.11.x до 2.11.7 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (сбой рабочих потоков) через векторы, которые вызывают необработанные исключения.
CVE-2006-4684Модуль docutils в Zope (Zope2) 2.7.0 - 2.7.9 и 2.8.0 - 2.8.8 неправильно обрабатывает веб-страницы с разметкой reStructuredText (reST), что позволяет удаленным злоумышленникам читать произвольные файлы через директиву csv_table, что является другой уязвимостью, чем CVE-2006-3458.
CVE-2002-0687Возможность "через веб-код" для Zope 2.0 через 2.5.1 b1 позволяет ненадежным пользователям завершить работу сервера Zope через определенные заголовки.
CVE-2000-1212Zope 2.2.0 до 2.2.4 неправильно защищает метод обновления данных для объектов Image и File, что позволяет злоумышленникам с правами редактирования DTML изменять необработанные данные этих объектов.
CVE-2023-44389Zope — это веб-сервер приложений с открытым исходным кодом. Свойство title, доступное для большинства объектов Zope, можно использовать для хранения кода сценария, который выполняется при просмотре затронутого объекта в Zope Management Interface (ZMI). Уязвимы все версии Zope 4 и Zope 5. Исправления будут выпущены с версиями Zope 4.8.11 и 5.8.6.