CVE-2021-32633 in Zopeinformation

Résumé

par VulDB • 26/06/2026

Zope est un serveur d'applications Web open source. Dans les versions de Zope antérieures à 4.6 et 5.2, les utilisateurs peuvent accéder indirectement à des modules non fiables via des modules Python disponibles pour une utilisation directe. Par défaut, seuls les utilisateurs disposant du rôle Manager peuvent ajouter ou modifier des modèles de pages Zope (Zope Page Templates) via l'interface Web ; toutefois, les sites qui permettent aux utilisateurs non fiables d'ajouter/modifier ces modèles par le biais de l'interface Web sont exposés à cette vulnérabilité. Le problème a été corrigé dans Zope 5.2 et 4.6. En attendant une mise à jour, un administrateur de site peut restreindre l'ajout ou la modification des modèles de pages Zope via le Web en utilisant les mécanismes standard d'autorisation utilisateur/rôle de Zope. Les utilisateurs non fiables ne doivent pas se voir attribuer le rôle Manager de Zope et l'ajout/la modification des modèles de pages Zope par le biais du Web doit être restreint aux seuls utilisateurs de confiance.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

GitHub, Inc.

Réserver

12/05/2021

Divulgation

21/05/2021

Modérer

accepté

Entrée

VDB-175467

CPE

prêt

EPSS

0.01843

KEV

non

Activités

très faible

Sources

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!