Zope - это веб-сервер приложений с открытым исходным кодом. Версии Zope до версий 4.6.3 и 5.3 имеют проблему безопасности, связанную с удал…

Zope - это веб-сервер приложений с открытым исходным кодом. Версии Zope до версий 4.6.3 и 5.3 имеют проблему безопасности, связанную с удаленным выполнением кода. Чтобы пострадать, необходимо использовать Python 3 для развертывания Zope, запустить Zope 4 ниже версии 4.6.3 или Zope 5 ниже версии 5.3 и установить дополнительный пакет `Products.PythonScripts`. По умолчанию необходимо иметь роль Zope "Manager" уровня администратора, чтобы добавлять или редактировать объекты Script (Python) через Интернет. Риску подвержены только сайты, которые позволяют ненадежным пользователям добавлять/редактировать эти скрипты через Интернет. Zope выпусков 4.6.3 и 5.3 не уязвимы. В качестве обходного пути администратор сайта может ограничить добавление/редактирование объектов Script (Python) через Интернет, используя стандартные механизмы разрешений пользователя/роли Zope. Ненадежным пользователям не следует назначать роль Zope Manager, а добавление/редактирование этих скриптов через Интернет следует ограничивать только доверенными пользователями. Это конфигурация по умолчанию в Zope.