Avis du CERT-FR

Objet: Vulnérabilité dans Plone et Zope

Gestion du document

Référence	CERTA-2011-AVI-548
Titre	Vulnérabilité dans Plone et Zope
Date de la première version	05 octobre 2011
Date de la dernière version	05 octobre 2011
Source(s)	Bulletin de sécurité Plone du 04 octobre 2011
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

Plone 4.x ;
Zope 2.12.x et 2.13.x.

Résumé

Une vulnérabilité dans Zope permet à un utilisateur non authentifié d'exécuter du code arbitraire à distance.

Description

Une requête spécialement construite permet à un utilisateur distant non authentifié d'exécuter du code arbitraire à distance avec les droits du serveur Plone ou Zope.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Plone du 04 octobre 2011 :

http://plone.org/products/plone/security/advisories/20110928

Référence CVE CVE-2011-3587 :

https://www.cve.org/CVERecord?id=CVE-2011-3587

Gestion détaillée du document

le 05 octobre 2011: version initiale.