**Nome do software vulnerável e versões afetadas:

Versões 4.0 a 4.2 do AccessControl

Versões 5.0 a 5.1 do AccessControl

Descrição:

O problema diz respeito ao módulo AccessControl em aplicações Zope, que define políticas de segurança para código Python. Ele permite o acesso restrito a módulos Python, mas isenta certos módulos considerados seguros, como o módulo string. No entanto, a classe Formatter do módulo string pode ser substituída, proporcionando acesso a outras bibliotecas Python inseguras que podem ser usadas para execução remota de código. Este problema afeta sites que permitem que usuários não confiáveis adicionem ou editem objetos Script (Python) pela web, o que é uma configuração incomum.

Recomendações:

Para as versões 4.0 a 4.2 do AccessControl, atualize para a versão 4.3.

Para as versões 5.0 a 5.1 do AccessControl, atualize para a versão 5.2.

Como solução alternativa temporária, restrinja a adição/edição de objetos Script (Python) pela web apenas a usuários confiáveis, utilizando os mecanismos padrão de permissão de usuário/função do Zope, e não atribua a função Zope Manager a usuários não confiáveis.