Dataflake

**Name of the Vulnerable Software and Affected Versions** Zope versions prior to 4.8.11 Zope versions prior to 5.8.6 **Description** Zope is an open-source web application server. The `title` property, available on most Zope objects, can be used to store script code that is executed while viewing the affected object in the Zope Management Interface (ZMI). This occurs because the `title` property is displayed unquoted in the breadcrumbs element. **Recommendations** For versions prior to 4.8.11, update to version 4.8.11 to resolve the issue. For versions prior to 5.8.6, update to version 5.8.6 to resolve the issue. As a temporary workaround, ensure that only Manager users can edit and view Zope objects in the Zope Management Interface, which is the default configuration.

**Name of the Vulnerable Software and Affected Versions** AccessControl versions prior to 4.4 AccessControl versions prior to 5.8 AccessControl versions prior to 6.2 **Description** The issue arises from Python's "format" functionality, which allows someone controlling the format string to access objects via attribute access and subscription. This can lead to critical information disclosure because the attribute accesses and subscriptions use Python's full-blown `getattr` and `getitem`, rather than the policy-restricted `AccessControl` variants ` getattr ` and ` getitem `. `AccessControl` provides a safe variant for `str.format` and denies access to `string.Formatter`, but `str.format map` remains unsafe. Users who allow untrusted users to create and execute `AccessControl` controlled Python code are affected. **Recommendations** For versions prior to 4.4, upgrade to version 4.4 or later. For versions prior to 5.8, upgrade to version 5.8 or later. For versions prior to 6.2, upgrade to version 6.2 or later. As a temporary workaround, consider restricting access to `str.format map` until a patch is available.

**Nome do software vulnerável e versões afetadas** Versões 4.0 a 4.2 do AccessControl Versões 5.0 a 5.1 do AccessControl Versões do Zope anteriores à 4.6.3 Versões do Zope anteriores à 5.3 **Descrição** O módulo `AccessControl` define políticas de segurança para o código Python utilizado em código restrito dentro de aplicações Zope. As políticas definidas no `AccessControl` restringem severamente o acesso a módulos Python e isentam apenas alguns considerados seguros, como o módulo `string` do Python. No entanto, o acesso total ao módulo `string` também permite o acesso à classe `Formatter`, que pode ser substituída e estendida dentro do `Script (Python)` de forma a fornecer acesso a outras bibliotecas Python inseguras. Essas bibliotecas Python inseguras podem ser usadas para execução remota de código. Por padrão, é necessário ter a função de “Gerente” do Zope no nível de administrador para adicionar ou editar objetos `Script (Python)` pela web. Apenas sites que permitem que usuários não confiáveis adicionem/editem esses scripts pela web estão em risco. **Recomendações** Para as versões 4.0 a 4.2 do AccessControl, atualize para a versão 4.3 ou posterior. Para as versões 5.0 a 5.1 do AccessControl, atualize para a versão 5.2 ou posterior. Para versões do Zope anteriores à 4.6.3, atualize para a versão 4.6.3 ou posterior. Para versões do Zope anteriores à 5.3, atualize para a versão 5.3 ou posterior. Como solução alternativa temporária, restrinja a adição/edição de objetos `Script (Python)` pela web usando os mecanismos padrão de permissão de usuário/função do Zope. Usuários não confiáveis não devem receber a função de Gerente do Zope

**Nome do software vulnerável e versões afetadas** Versões do Zope anteriores à 4.6.3 e à 5.3 **Descrição** O Zope é um servidor de aplicativos web de código aberto com uma falha de segurança que permite a execução remota de código. A falha afeta implantações do Zope que utilizam Python 3, executam o Zope 4 em versões anteriores à 4.6.3 ou o Zope 5 em versões anteriores à 5.3, e que tenham o pacote opcional `Products.PythonScripts` instalado. Por padrão, apenas usuários com a função de nível administrativo “Manager” do Zope podem adicionar ou editar objetos Script (Python) pela web. Sites que permitem que usuários não confiáveis adicionem ou editem esses scripts pela web estão em risco. **Recomendações** Para versões do Zope anteriores à 4.6.3 e à 5.3, restrinja a adição ou edição de objetos Script (Python) pela web usando os mecanismos padrão de permissão de usuário/função do Zope. Usuários não confiáveis não devem receber a função de Gerente do Zope, e a adição ou edição desses scripts pela web deve ser restrita apenas a usuários confiáveis. Essa é a configuração padrão no Zope.

**Nome do software vulnerável e versões afetadas** Versões do Zope anteriores à 5.2 e à 4.6 Versões do Zope anteriores à 5.21 e à 4.6.1 **Descrição** O Zope é um servidor de aplicativos web de código aberto. No Zope, os usuários podem acessar módulos não confiáveis indiretamente por meio de módulos Python disponíveis para uso direto. Por padrão, apenas usuários com a função de Gerente podem adicionar ou editar modelos de página do Zope pela web, mas sites que permitem que usuários não confiáveis adicionem/editem modelos de página do Zope pela web estão em risco devido a essa vulnerabilidade. O problema foi corrigido nas versões 5.2 e 4.6 do Zope. **Recomendações** Para versões do Zope anteriores à 5.2 e 4.6, atualize para o Zope 5.2 ou 4.6 para resolver o problema. Para versões do Zope anteriores à 5.21 e 4.6.1, atualize para o Zope 5.21 ou 4.6.1 para resolver o problema. Como solução alternativa temporária, um administrador do site pode restringir a adição/edição de modelos de página do Zope pela web usando os mecanismos padrão de permissão de usuário/função do Zope. Usuários não confiáveis não devem receber a função de Gerente do Zope, e a adição/edição de modelos de página do Zope pela web deve ser restrita apenas a usuários confiáveis.

**Nome do software vulnerável e versões afetadas** Versões do Zope anteriores à 5.2.1 e à 4.6.1 **Descrição** O Zope é um servidor de aplicativos web de código aberto. O problema diz respeito a vulnerabilidades de traversal de expressões TAL, nas quais a maioria dos módulos Python não está disponível para uso em expressões TAL adicionadas pela web, mas alguns módulos não confiáveis podem ser acessados indiretamente. Por padrão, apenas usuários com a função de Gerente podem adicionar ou editar modelos de página do Zope pela web. No entanto, sites que permitem que usuários não confiáveis adicionem ou editem esses modelos estão em risco. O problema foi corrigido nas versões 5.2.1 e 4.6.1. **Recomendações** Para versões anteriores à 5.2.1, atualize para a versão 5.2.1 para resolver o problema. Para versões anteriores à 4.6.1, atualize para a versão 4.6.1 para resolver o problema. Como solução alternativa temporária, um administrador do site pode restringir a adição ou edição de modelos de página do Zope pela web usando os mecanismos padrão de permissão de usuário/função do Zope. Usuários não confiáveis não devem receber a função de Gerente do Zope, e a adição ou edição de modelos de página do Zope pela web deve ser restrita apenas a usuários confiáveis.

**Nome do software vulnerável e versões afetadas** Versões do Products.GenericSetup anteriores à 2.1.1 **Descrição** O problema consiste em uma vulnerabilidade de divulgação de informações, na qual visitantes anônimos podem visualizar arquivos de log e de instantâneos gerados pela Ferramenta de Configuração Genérica. Esse problema foi corrigido na versão 2.1.1. **Recomendações** Para versões anteriores à 2.1.1, altere o pin da versão do buildout para 2.1.1 e execute o buildout novamente; ou, se você usou o pip, basta executar o comando pip install “Products.GenericSetup>=2.1.1”. Como solução alternativa temporária, acesse a guia Segurança do ZMI em portal setup/manage access e clique no link Acessar informações de conteúdo. Na página seguinte, desmarque a caixa “Também usar funções adquiridas de pastas que contêm esses objetos” na parte inferior e marque as caixas de seleção para “Gerente” e “Proprietário”. Em seguida, clique em “Salvar alterações”. Volte para a guia “Segurança do ZMI” em portal setup/manage access e role para baixo até o link “Exibir”. Clique em “Exibir”, desmarque a caixa “Também usar funções adquiridas de pastas que contêm esses objetos” na parte inferior e marque as caixas de seleção para “Gerente” e “Proprietário”. Em seguida, clique em “Salvar alterações”.

**Nome do software vulnerável e versões afetadas** Versões do Products.PluggableAuthService anteriores à 2.6.0 **Descrição** O problema é uma vulnerabilidade de divulgação de informações, na qual qualquer pessoa pode listar os nomes das funções definidas no plugin ZODB Role Manager, caso o site utilize esse plugin. O problema foi corrigido na versão 2.6.0. **Recomendações** Para versões anteriores à 2.6.0, altere o pin da versão do buildout para 2.6.0 e execute o buildout novamente; ou, se você usou o pip, basta executar `pip install “Products.PluggableAuthService>=2.6.0”`.