漏洞信息详情
Plone CatalogTool 信息泄露漏洞
- CNNVD编号:CNNVD-201312-240
- 危害等级: 低危
- CVE编号: CVE-2013-7061
- 漏洞类型: 权限许可和访问控制
- 发布时间: 2013-12-13
- 威胁类型: 远程
- 更新时间: 2014-05-06
- 厂 商: plone
- 漏洞来源: Richard Mitchell o...
漏洞简介
Plone是美国Plone基金会的一套建立在应用服务器(Zope)上的免费且开源的内容管理系统(CMS)。该系统采用Python语言开发,适用于门户网站、企业内外网站、文档发布系统等。
Plone 3.3至4.3.2版本的Products/CMFPlone/CatalogTool.py文件存在安全漏洞。远程攻击者可通过search API利用该漏洞绕过限制,获取敏感信息。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://plone.org/security/20131210/catalogue-exposure
参考网址
来源:plone.org
链接:https://plone.org/security/20131210/catalogue-exposure
来源:MLIST
名称:[oss-security] 20131210 CVE request for Plone
链接:http://www.openwall.com/lists/oss-security/2013/12/10/15
来源:MLIST
名称:[oss-security] 20131211 Re: CVE request for Plone
链接:http://www.openwall.com/lists/oss-security/2013/12/12/3
来源:SECUNIA
名称:56015
链接:http://secunia.com/advisories/56015
来源: BID
名称: 64220
链接:http://www.securityfocus.com/bid/64220
受影响实体
- Plone Plone:4.1.4
- Plone Plone:4.1.5
- Plone Plone:4.1.6
- Plone Plone:3.3
- Plone Plone:4.0.9
补丁
- Plone-4.3.3-64
- Plone-4.3.3-UnifiedInstaller
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论