Das Security Advisory (CVE-2011-1948) behandelt eine Schwachstelle, die es erlaubt über manipulierte URLs beliebigen Inhalt auszuliefern. Betroffen sind alle Versionen von Plone.
Das Security Advisory (CVE-2011-1949) behandelt eine Cross-Site-Scripting Lücke, über die die HTML Filterung bei der Erstellung von Inhalten umgangen werden kann. Betroffen ist Plone seit der Version 2.1 (bis 4.1).
Das Security Advisory (CVE-2011-1950) behandelt eine Sicherheitsslücke, über die angemeldete Benutzer die Einstellungen anderer Benutzer manipulieren können. Betroffen ist Plone 4.
Das PAS ticket #789858 behandelt ein Schwachstelle in Products.PluggableAuthService über die ein Benutzer andere Nutzer am Login hindern kann.
Alle Schwachstellen werden mit dem Plone Hotfix 20110531 behoben. Weitere Informationen zu der Lücke finden Sie auf plone.org.
Der Plone Hotfix 20110531 beseitigt insgesamt vier mögliche Angriffspunkte in unterschiedlichen Versionen von Plone. Plone wird regelmäßig vom Security Team auf Beständigkeit gegen die aktuellsten Angriffstechnologien hin geprüft. Es ergibt sich akuter Handlungsbedarf, da nach Veröffentlichung mit automatisierten Angriffen zu rechnen ist. Das Security Team hatte den Veröffentlichungstermin vorab angekündigt. Die Lücke selbst wurde hierdurch erst nachträglich offenbart.
