Versões do Plone anteriores à 5.2.7

Versões do Plone anteriores à 6.0.0a3

Versões do plone.app.contenttypes anteriores à 2.2.3

Versões do plone.app.contenttypes anteriores à 3.0.0a9

Versões do Products.CMFPlone da série 4.3

Versões do Products.ATContentTypes no Plone 5.0-5.2

O problema diz respeito a vulnerabilidades de cross-site scripting refletido e redirecionamento aberto. Um invasor pode explorar isso colocando uma versão comprometida da página image view fullscreen em um cache, como o Varnish, usando uma técnica conhecida como cache poisoning. Isso pode afetar visitantes posteriores que clicarem em links na página comprometida, normalmente usuários anônimos, dependendo das configurações do cache.

Para versões do Plone anteriores à 5.2.7, atualize para a versão 5.2.7 ou posterior.

Para versões do Plone anteriores à 6.0.0a3, atualize para a versão 6.0.0a3 ou posterior.

Para versões do plone.app.contenttypes anteriores à 2.2.3, atualize para a versão 2.2.3 ou posterior.

Para versões do plone.app.contenttypes anteriores à 3.0.0a9, atualize para a versão 3.0.0a9 ou posterior.

Para versões do Products.CMFPlone da série 4.3 e versões do Products.ATContentTypes no Plone 5.0-5.2, considere a solução alternativa: remova image view fullscreen dos “Mapeamentos de modelos legados” no painel de controle “Operações de cache” para impedir que seja armazenado no cache.

Como solução alternativa temporária para todas as versões sem patch, certifique-se de que a página image view fullscreen não seja armazenada no cache seguindo as etapas descritas no