CVE-2021-32633 in Zope
Résumé
par VulDB • 26/06/2026
Zope est un serveur d'applications Web open source. Dans les versions de Zope antérieures à 4.6 et 5.2, les utilisateurs peuvent accéder indirectement à des modules non fiables via des modules Python disponibles pour une utilisation directe. Par défaut, seuls les utilisateurs disposant du rôle Manager peuvent ajouter ou modifier des modèles de pages Zope (Zope Page Templates) via l'interface Web ; toutefois, les sites qui permettent aux utilisateurs non fiables d'ajouter/modifier ces modèles par le biais de l'interface Web sont exposés à cette vulnérabilité. Le problème a été corrigé dans Zope 5.2 et 4.6. En attendant une mise à jour, un administrateur de site peut restreindre l'ajout ou la modification des modèles de pages Zope via le Web en utilisant les mécanismes standard d'autorisation utilisateur/rôle de Zope. Les utilisateurs non fiables ne doivent pas se voir attribuer le rôle Manager de Zope et l'ajout/la modification des modèles de pages Zope par le biais du Web doit être restreint aux seuls utilisateurs de confiance.
If you want to get best quality of vulnerability data, you may have to visit VulDB.