nvd,anchore_overrides
Plone
Уязвимости
118
Эксплуатируемые
0
Критический
5
Высокий
24
Топ продуктов
Топ уязвимостей
CVE-2008-1393Plone CMS 3.0.5 и, вероятно, другие версии 3.x помещают форму имени пользователя и пароля, закодированную в base64, в файл cookie __ac для учетной записи администратора, что упрощает удаленным злоумышленникам получение административных привилегий путем перехвата трафика в сети.
CVE-2021-33509Plone до версии 5.2.4 позволяет удаленным аутентифицированным менеджерам выполнять операции ввода-вывода на диске через специально созданные аргументы ключевых слов для преобразования ReStructuredText в скрипте Python.
CVE-2024-23054Проблема в Plone Docker Official Image 5.2.13 (5221) с открытым исходным кодом, которая может привести к удаленному выполнению кода из-за того, что пакет, указанный в ++plone++static/components, отсутствует в общедоступном индексе пакетов (npm).
CVE-2020-7941Проблема повышения привилегий в plone.app.contenttypes в Plone 4.3–5.2.1 позволяет пользователям выполнять PUT (перезаписывать) некоторый контент без необходимости получения разрешения на запись.
CVE-2020-35190Официальные образы plone Docker до версии 4.3.18-alpine (только для Alpine) содержат пустой пароль для пользователя root. Система, использующая контейнер plone docker, развернутый затронутыми версиями образа docker, может позволить удаленному злоумышленнику получить root-доступ с пустым паролем.
CVE-2021-33926Проблема в Plone CMS v. 5.2.4, 5.2.3, 5.2.2, 5.2.1, 5.2.0, 5.1rc2, 5.1rc1, 5.1b4, 5.1b3, 5.1b2, 5.1a2, 5.1a1, 5.1.7, 5.1.6, 5.1.5, 5.1.4, 5.1.2, 5.1.1 5.1, 5.0rc3, 5.0rc2, 5.0rc1, 5.0.9, 5.0.8, 5.0.7, 5.0.6, 5.0.5, 5.0.4, 5.0.3, 5.0.2, 5.0.10, 5.0.1, 5.0, 4.3.9, 4.3.8, 4.3.7, 4.3.6, 4.3.5, 4.3.4, 4.3.3, 4.3.20, 4 позволяет злоумышленнику получить доступ к конфиденциальной информации через protlet RSS-канала.
CVE-2021-32633Zope - это сервер веб-приложений с открытым исходным кодом. В версиях Zope до 4.6 и 5.2 пользователи могут получить доступ к ненадежным модулям косвенно через модули Python, которые доступны для непосредственного использования. По умолчанию только пользователи с ролью Manager могут добавлять или редактировать шаблоны страниц Zope через Интернет, но сайты, которые позволяют ненадежным пользователям добавлять/редактировать шаблоны страниц Zope через Интернет, подвержены риску этой уязвимости. Проблема была устранена в Zope 5.2 и 4.6. В качестве обходного пути администратор сайта может ограничить добавление/редактирование шаблонов страниц Zope через Интернет, используя стандартные механизмы разрешений пользователей/ролей Zope. Ненадежным пользователям не следует назначать роль Zope Manager, а добавление/редактирование шаблонов страниц Zope через Интернет следует ограничить только для доверенных пользователей.
CVE-2020-7939SQL-инъекция в DTML или в объектах подключения в Plone 4.0–5.2.1 позволяет пользователям выполнять нежелательные SQL-запросы. (Это проблема в Zope.)
CVE-2020-7938plone.restapi в Plone 5.2.0–5.2.1 позволяет пользователям с определенным уровнем привилегий повышать свои привилегии до самого высокого уровня.
CVE-2020-28736Plone до версии 5.2.3 допускает XXE-атаки через функцию, которая защищена непримененным разрешением plone.schemaeditor.ManageSchemata (поэтому доступна только для роли Manager).
CVE-2020-28735Plone до версии 5.2.3 допускает SSRF-атаки через функцию tracebacks (доступна только для роли Manager).
CVE-2020-28734Plone до версии 5.2.3 допускает XXE-атаки через функцию, которая явно доступна только для роли Manager.
CVE-2015-7293Множественные уязвимости межсайтовой подделки запросов (CSRF) в Zope Management Interface 4.3.7 и более ранних версий, и Plone до 5.x.
CVE-2025-61668Volto – фронтенд‑приложение на ReactJS для системы управления контентом Plone. В версиях 16.34.0 и ниже, 17.0.0‑17.22.1, 18.0.0‑18.27.1 и 19.0.0‑alpha.1‑alpha.5 анонимный пользователь мог вызвать аварийное завершение процесса Node.js, обращаясь к специально сформированному URL. Уязвимость исправлена в версиях 16.34.1, 17.22.2, 18.27.2 и 19.0.0‑alpha.6, где в middleware API добавлен защитный guard (см. pull‑request #7412, #7413).
Источники:
- [1] https://github.com/plone/volto/security/advisories/GHSA-m8rj-ppph-mj33
- [2] https://github.com/plone/volto/pull/7412
- [3] https://github.com/plone/volto/pull/7413
- [4] https://github.com/plone/volto/commit/58d9f82d2d50ca9a87edbe16fed91762e57c109c
- [5] https://github.com/plone/volto/releases/tag/16.34.1
CVE-2025-58047Volto, React-based frontend для Plone Content Management System, содержит уязвимость, которая позволяет анонимному пользователю вызвать крах серверной части NodeJS при посещении определенного URL. Проблема исправлена в версиях 16.34.0, 17.22.1, 18.24.0 и 19.0.0-alpha.4. В качестве обходного пути рекомендуется настроить автоматический перезапуск процессов, которые завершаются с ошибкой [1].
Источники:
- [1] https://github.com/plone/volto/security/advisories/GHSA-xjhf-7833-3pm5
CVE-2024-23756Методы HTTP PUT и DELETE включены в официальной Docker-версии Plone 5.2.13 (5221), что позволяет неаутентифицированным злоумышленникам выполнять опасные действия, такие как загрузка файлов на сервер или их удаление.
CVE-2024-22889Из-за некорректного контроля доступа в Plone версии v6.0.9 удаленные злоумышленники могут просматривать и перечислять все файлы, размещенные на веб-сайте, путем отправки специально созданного запроса.
CVE-2023-42457plone.rest позволяет пользователям использовать HTTP-глаголы, такие как GET, POST, PUT, DELETE и т.д. в Plone. Начиная с ветки 2.x и до версий 2.0.1 и 3.0.1, когда пересекатель `++api++` случайно используется несколько раз в URL, обработка занимает все больше времени, делая сервер менее отзывчивым. Патчи доступны в `plone.rest` 2.0.1 и 3.0.1. Серия 1.x не затронута. В качестве обходного решения, можно перенаправить `/++api++/++api++` на `/++api++` на своем фронтенд веб-сервере (nginx, Apache).
CVE-2022-24740Volto - это интерфейс на основе ReactJS для системы управления контентом Plone. В версиях от 14.0.0-alpha.5 до 15.0.0-alpha.0 аутентификационный файл cookie пользователя мог быть заменен аутентификационным файлом cookie другого пользователя, что фактически давало ему контроль над учетной записью и привилегиями другого пользователя. Это происходит при использовании устаревшей версии библиотеки `react-cookie` и высокой загрузке сервера. В настоящее время не существует подтверждения концепции, но вполне возможно, что эта проблема возникнет в реальных условиях. Исправление присутствует в Volto 15.0.0-alpha.0. В качестве обходного пути можно вручную обновить пакет `react-cookie` до версии 4.1.1, а затем переопределить все компоненты Volto, использующие эту библиотеку.
CVE-2021-33511Plone до версии 5.2.4 допускает SSRF через парсер lxml. Это влияет на темы Diazo, схемы Dexterity TTW и modeleditors в plone.app.theming, plone.app.dexterity и plone.supermodel.
CVE-2020-7940Отсутствие проверок надежности пароля в некоторых формах в Plone 4.3–5.2.0 позволяет пользователям устанавливать слабые пароли, что облегчает их взлом.
CVE-2015-7318Plone 3.3.0 через 3.3.6 позволяет удаленным злоумышленникам внедрять заголовки в HTTP-ответы.
CVE-2011-2528Неуказанная уязвимость в (1) Zope 2.12.x до 2.12.19 и 2.13.x до 2.13.8, используемом в Plone 4.x и других продуктах, и (2) PloneHotfix20110720 для Plone 3.x позволяет злоумышленникам получить привилегии через неуказанные векторы, связанные с "очень серьезной уязвимостью". ПРИМЕЧАНИЕ: эта уязвимость существует из-за неправильного исправления CVE-2011-0720.
CVE-2011-0720Неуказанная уязвимость в Plone 2.5 до 4.0, используемая в Conga, luci и, возможно, других продуктах, позволяет удаленным злоумышленникам получить административный доступ, читать или создавать произвольный контент и изменять скин сайта через неизвестные векторы.
CVE-2008-1395Plone CMS не записывает состояния аутентификации пользователей и реализует функцию выхода из системы исключительно на стороне клиента, что упрощает зависящим от контекста злоумышленникам повторное использование сеанса, из которого был выполнен выход.