CVE-2021-32807

Versões 4.0 a 4.2 do AccessControl

Versões 5.0 a 5.1 do AccessControl

Versões do Zope anteriores à 4.6.3

Versões do Zope anteriores à 5.3

O módulo AccessControl define políticas de segurança para o código Python utilizado em código restrito dentro de aplicações Zope. As políticas definidas no AccessControl restringem severamente o acesso a módulos Python e isentam apenas alguns considerados seguros, como o módulo string do Python. No entanto, o acesso total ao módulo string também permite o acesso à classe Formatter, que pode ser substituída e estendida dentro do Script (Python) de forma a fornecer acesso a outras bibliotecas Python inseguras. Essas bibliotecas Python inseguras podem ser usadas para execução remota de código. Por padrão, é necessário ter a função de “Gerente” do Zope no nível de administrador para adicionar ou editar objetos Script (Python) pela web. Apenas sites que permitem que usuários não confiáveis adicionem/editem esses scripts pela web estão em risco.

Para as versões 4.0 a 4.2 do AccessControl, atualize para a versão 4.3 ou posterior.

Para as versões 5.0 a 5.1 do AccessControl, atualize para a versão 5.2 ou posterior.

Para versões do Zope anteriores à 4.6.3, atualize para a versão 4.6.3 ou posterior.

Para versões do Zope anteriores à 5.3, atualize para a versão 5.3 ou posterior.

Como solução alternativa temporária, restrinja a adição/edição de objetos Script (Python) pela web usando os mecanismos padrão de permissão de usuário/função do Zope. Usuários não confiáveis não devem receber a função de Gerente do Zope