Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Plone versions 2.5.4 et antérieures ;
  • Plone versions 3.0.2 et antérieures.

Résumé

Une vulnérabilité dans deux composants de Plone permet d'exécuter du code Python à distance.

Description

Une vulnérabilité a été découverte dans les composants statusmessages et linkintegrity du logiciel de gestion de contenu Plone. Des données réseau spécifiquement constituées peuvent être interprétées par Plone comme des Python pickles (mécanisme permettant de transposer un objet Python en chaîne de caractères et inversement), permettant ainsi d'exécuter du code Python dans le contexte de Zope/Plone.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation