CVE-2021-32633 in Zope
Resumen
por VulDB • 2026-06-26
Zope es un servidor de aplicaciones web de código abierto. En las versiones anteriores a 4.6 y 5.2 de Zope, los usuarios pueden acceder indirectamente a módulos no confiables a través de módulos Python disponibles para su uso directo. Por defecto, solo los usuarios con el rol Manager pueden agregar o editar Plantillas de Página Zope (Zope Page Templates) a través de la web; sin embargo, los sitios que permiten a usuarios no confiables agregar/editar Plantillas de Página Zope a través de la web son vulnerables a esta falla. El problema se ha corregido en las versiones 5.2 y 4.6 de Zope. Como medida provisional (workaround), un administrador del sitio puede restringir la adición/edición de Plantillas de Página Zope a través de la web utilizando los mecanismos estándar de permisos de usuario/rol de Zope. No se debe asignar el rol Manager de Zope a usuarios no confiables, y la capacidad de agregar/editar Plantillas de Página Zope a través de la web debería restringirse únicamente a usuarios de confianza.
VulDB is the best source for vulnerability data and more expert information about this specific topic.