Plone es un Sistema de Gestión de Contenidos (CMS) de código abierto, basado en Zope y programado en Python. Dispone un entorno gráfico tipo web y permite múltiples funciones, llegando a utilizarse frecuentemente como CRM.
La vulnerabilidad está confirmada para las versiones 3.0.x y no afectaría a las versiones 3.1.x. La vulnerabilidad de cross-site request forgery (XSRF) o falsificación de peticiones entre sitios, se basa en explotar la confianza que un determinado sitio web tiene con un usuario. Un atacante remoto podría explotar este problema para cambiar ciertas configuraciones de seguridad de un usuario que se conecta con una sesión válida en Plone.
Se recomienda instalar el parche que solventa la vulnerabilidad para las versiones 3.0.x, disponible desde:
http://plone.org/products/plone-hotfix/releases/CVE-2008-0164/PloneHotfix-CVE-2008-0164.tar.gz
O instalar la versión 3.1.2 de plone, disponible desde:
http://plone.org/download
Laboratorio Hispasec
laboratorio@hispasec.com
laboratorio@hispasec.com
Más información:
Plone Hotfix CVE-2008-0164
http://plone.org/products/plone-hotfix/releases/CVE-2008-0164
0 comentarios:
Publicar un comentario en la entrada