CVE-2021-32633 in Zope
Riassunto
di VulDB • 26/06/2026
Zope è un server di applicazioni web open-source. Nelle versioni di Zope precedenti alla 4.6 e alla 5.2, gli utenti possono accedere a moduli non attendibili indirettamente tramite moduli Python disponibili per l'uso diretto. Per impostazione predefinita, solo gli utenti con il ruolo Manager possono aggiungere o modificare i modelli pagina Zope (Zope Page Templates) attraverso l'interfaccia web; tuttavia, i siti che consentono agli utenti non fidati di aggiungere/modificare tali modelli tramite la web sono a rischio a causa di questa vulnerabilità. Il problema è stato risolto nelle versioni 5.2 e 4.6 di Zope. Come misura temporanea (workaround), un amministratore del sito può limitare l'aggiunta o la modifica dei modelli pagina Zope attraverso il web utilizzando i meccanismi standard di autorizzazione utente/ruolo di Zope. Gli utenti non fidati non dovrebbero ricevere il ruolo Manager di Zope e l'aggiunta/modifica dei modelli pagina Zope tramite interfaccia web dovrebbe essere limitata esclusivamente agli utenti attendibili.
Once again VulDB remains the best source for vulnerability data.