PT-2021-19820 · Zope · Zope
Dataflake
·
Publicado
2021-05-21
·
Atualizado
2022-04-06
·
CVE-2021-32633
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Zope anteriores à 5.2 e à 4.6
Versões do Zope anteriores à 5.21 e à 4.6.1
Descrição
O Zope é um servidor de aplicativos web de código aberto. No Zope, os usuários podem acessar módulos não confiáveis indiretamente por meio de módulos Python disponíveis para uso direto. Por padrão, apenas usuários com a função de Gerente podem adicionar ou editar modelos de página do Zope pela web, mas sites que permitem que usuários não confiáveis adicionem/editem modelos de página do Zope pela web estão em risco devido a essa vulnerabilidade. O problema foi corrigido nas versões 5.2 e 4.6 do Zope.
Recomendações
Para versões do Zope anteriores à 5.2 e 4.6, atualize para o Zope 5.2 ou 4.6 para resolver o problema.
Para versões do Zope anteriores à 5.21 e 4.6.1, atualize para o Zope 5.21 ou 4.6.1 para resolver o problema.
Como solução alternativa temporária, um administrador do site pode restringir a adição/edição de modelos de página do Zope pela web usando os mecanismos padrão de permissão de usuário/função do Zope. Usuários não confiáveis não devem receber a função de Gerente do Zope, e a adição/edição de modelos de página do Zope pela web deve ser restrita apenas a usuários confiáveis.
Exploit
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Zope