Опубликован хот-фикс CMS Plone: HTML-инъекция в safe_html
Данное исправление Plone включено в обновление PortalTransforms.
Данная уязвимость обнаружена в html-фильтрации во всех версиях Plone. Авторизованные пользователи, имеющие права на создание контента могут воспользоваться этим изъяном безопасности и обойти фильтрацию HTML-кода при размещении контента. Можно отметить, что обнаружение уязвимостей - большая редкость для CMS Plone, одной из самых безопасных CMS.
Данной проблеме присвоен номер CVE-2010-2422.
Уязвимости подвержены все релизы Plone, начиная с 2.1.
Установка для Plone 2.1 - 3.1
Для установки хот-фикса скачайте и распакуйте дистрибутив и добавьте директорию PloneHotfix20100612 в каталог продуктов Вашей инстанции. Если хотфикс будет успешно применён, Вы увидите следующее сообщение при запуске инстанции:
2010-06-12 23:54:28 INFO PloneHotfix20100612 safe_html patched
Установка для Plone 3.2 и 3.3
Так как хот-фикс работает с любой версией Plone, пользователи Plone 3.2 - Plone 3.3.5 должны добавить следующее в конфигурационные файлы buildout и перезапустить buildout:
[versions] Products.PortalTransforms = 1.6.11
При запуске не выводится подтверждающих сообщений, но убедиться в наличии исправления можно, проверив номер версии PortalTransforms в панели управления Zope.
Рекомендуется установить исправление на хостинг, особенно, если на Вашем Plone-сайте публикации осуществляют большое количество авторов.
вопрос
специалисту