Vulnerabilitate de PloneFormGen care necesită upgrade imediat

PloneFormGen, un add-on de formular de răspuns-creare utilizat pe scară largă pentru Plone Content Management System, a fost descoperit a avea o vulnerabilitate gravă, care permite unui atacator anonim executarea de cod arbitrar, cu privilegiile utilizatorului de sistem care ruleaza pe server.

Instanțele de Plone care nu includ PloneFormGen nu sunt afectate de această vulnerabilitate.

Vulnerabilitatea este prezentă în PloneFormGen din versiunea 1.7.4 (11.04.2012) pâna la versiunea 1.7.8. Pentru utilizatorii care folosesc oricare din aceste versiuni este recomandată instalarea upgrade-ului PloneFormGen versiunea 1.7.11.

O altă vulnerabilitate gravă afectează cele mai multe versiuni anterioare de PloneFormGen. Această vulnerabilitate afectează formularele care conțin adaptoare de script-uri personalizate, și permite unui utilizator anonim controlul manipulării datelor transmise prin formular. Această vulnerabilitate este revizuită in versiunea 1.7.11. Utilizatorii de PloneFormGen 1.6.x sau de versiuni mai vechi, care rulează pe Plone 3.x, 4.0 si 4.1 sunt sfătuiți sa facă upgrade la vesiunea 1.6.7.

Sfaturi pentru instalarea update-ului sunt disponibile pe canalul IRC al Plone sau pe forum. Upgrade-ul unui pachet deja instalat necesită specificarea noului număr de versiune în fișierele de configurare ale buildout-ului.