PT-2021-19945 · Unknown+1 · Products.Pythonscripts+1
Dataflake
·
Publicado
2021-07-30
·
Atualizado
2022-12-02
·
CVE-2021-32811
CVSS v4.0
7.7
Alta
| Vetor | AV:N/AC:L/AT:P/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Zope anteriores à 4.6.3 e à 5.3
Descrição
O Zope é um servidor de aplicativos web de código aberto com uma falha de segurança que permite a execução remota de código. A falha afeta implantações do Zope que utilizam Python 3, executam o Zope 4 em versões anteriores à 4.6.3 ou o Zope 5 em versões anteriores à 5.3, e que tenham o pacote opcional
Products.PythonScripts instalado. Por padrão, apenas usuários com a função de nível administrativo “Manager” do Zope podem adicionar ou editar objetos Script (Python) pela web. Sites que permitem que usuários não confiáveis adicionem ou editem esses scripts pela web estão em risco.Recomendações
Para versões do Zope anteriores à 4.6.3 e à 5.3, restrinja a adição ou edição de objetos Script (Python) pela web usando os mecanismos padrão de permissão de usuário/função do Zope. Usuários não confiáveis não devem receber a função de Gerente do Zope, e a adição ou edição desses scripts pela web deve ser restrita apenas a usuários confiáveis. Essa é a configuração padrão no Zope.
Correção
RCE
Prototype Pollution
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Products.Pythonscripts
Zope