Se ha encontrado una vulnerabilidad en Plone 3.0.x que podría ser explotada por un atacante remoto para realizar ataques de cross-site request forgery (XSRF).
Plone es un Sistema de Gestión de Contenidos (CMS) de código abierto, basado en Zope y programado en Python. Dispone un entorno gráfico tipo web y permite múltiples funciones, llegando a utilizarse frecuentemente como CRM.
La vulnerabilidad está confirmada para las versiones 3.0.x y no afectaría a las versiones 3.1.x. La vulnerabilidad de cross-site request forgery (XSRF) o falsificación de peticiones entre sitios, se basa en explotar la confianza que un determinado sitio web tiene con un usuario. Un atacante remoto podría explotar este problema para cambiar ciertas configuraciones de seguridad de un usuario que se conecta con una sesión válida en Plone.
Se recomienda instalar el parche que solventa la vulnerabilidad para las versiones 3.0.x, disponible desde:
http://plone.org/products/plone-hotfix/releases/CVE-2008-0164/PloneHotfix-CVE-2008-0164.tar.gz
O instalar la versión 3.1.2 de plone, disponible desde:
http://plone.org/download
laboratorio@hispasec.com
Más información:
Plone Hotfix CVE-2008-0164
http://plone.org/products/plone-hotfix/releases/CVE-2008-0164
Deja una respuesta