各种plone修补程序,2016-08-30
Products.PloneHotfix20160830的Python项目详细描述
Plone热修复,2016-08-30
此修补程序修复了几个安全问题:
- 攻击者可以绕过plone的安全方法来检查url是否有效, 网站上的安全URL,可能导致对某些页面的XSS攻击。
- 在多个地方,plone盲目地使用referer头重定向用户 在一个特定的动作之后的下一页。攻击者可以利用此漏洞 将用户引入重定向攻击。
- z3c.form当前将在假定表单为 担任职务。这允许用户将潜在的xss攻击注入表单, 保存后会引起xss攻击。而且,在plone中有一些小部件 管理表单,输入应该是安全的,并且可能导致反射xss。 攻击。
- 修复用户信息页上的XSS。
- 修复多个zmi页面上的xss
- 通过使用相对路径和猜测服务器上的位置,plone被安装 在上,攻击者可以从运行进程的目标服务器读取数据 普隆有权阅读。攻击者需要管理员权限 执行此攻击的plone站点。
此修补程序应应用于以下plone版本:
- plone 5.0.6和任何更早的5.x版本
- plone 4.3.11和任何更早的4.x版本
- 任何旧版本的plone
该修补程序由PLONE安全团队在 以下版本的plone与plone一致 版本支持策略:4.0.10、4.1.6、4.2.7、4.3.11和5.0.6。 不过,它也接受了一些旧版本plone的测试。 这里包含的修复将被合并到plone的后续版本中, 因此,plone 4.3.12、5.0.7及更高版本不需要此修补程序。
欢迎加入QQ群-->: 979659372
