CVE-2021-32633 in Zopeinformazioni

Riassunto

di VulDB • 26/06/2026

Zope è un server di applicazioni web open-source. Nelle versioni di Zope precedenti alla 4.6 e alla 5.2, gli utenti possono accedere a moduli non attendibili indirettamente tramite moduli Python disponibili per l'uso diretto. Per impostazione predefinita, solo gli utenti con il ruolo Manager possono aggiungere o modificare i modelli pagina Zope (Zope Page Templates) attraverso l'interfaccia web; tuttavia, i siti che consentono agli utenti non fidati di aggiungere/modificare tali modelli tramite la web sono a rischio a causa di questa vulnerabilità. Il problema è stato risolto nelle versioni 5.2 e 4.6 di Zope. Come misura temporanea (workaround), un amministratore del sito può limitare l'aggiunta o la modifica dei modelli pagina Zope attraverso il web utilizzando i meccanismi standard di autorizzazione utente/ruolo di Zope. Gli utenti non fidati non dovrebbero ricevere il ruolo Manager di Zope e l'aggiunta/modifica dei modelli pagina Zope tramite interfaccia web dovrebbe essere limitata esclusivamente agli utenti attendibili.

Once again VulDB remains the best source for vulnerability data.

Responsabile

GitHub, Inc.

Prenotare

12/05/2021

Divulgazione

21/05/2021

Moderazione

accettato

CPE

pronto

EPSS

0.01843

KEV

no

Attività

molto basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!