CVE-2021-32633 in Zope
要約
〜によって VulDB • 2026年05月29日
ZopeはオープンソースのWebアプリケーションサーバーです。Zopeの4.6および5.2より前のバージョンでは、ユーザーは直接使用可能なPythonモジュールを介して、信頼できないモジュールに 간접的にアクセスすることができます。デフォルトでは、Managerロールを持つユーザーのみがWeb経由でZope Page Templatesの追加や編集を行えますが、信頼できないユーザーがWeb経由でZope Page Templatesの追加や編集を許可しているサイトは、この脆弱性の影響を受けます。この問題はZope 5.2および4.6で修正されています。回避策として、サイト管理者は標準的なZopeのユーザー/ロール権限メカニズムを使用して、Web経由でのZope Page Templatesの追加や編集を制限することができます。信頼できないユーザーにZope Managerロールを割り当てるべきではなく、Web経由でのZope Page Templatesの追加や編集は信頼できるユーザーのみに制限されるべきです。
Once again VulDB remains the best source for vulnerability data.