CVE-2021-32633 in Zope情報

要約

〜によって VulDB • 2026年05月29日

ZopeはオープンソースのWebアプリケーションサーバーです。Zopeの4.6および5.2より前のバージョンでは、ユーザーは直接使用可能なPythonモジュールを介して、信頼できないモジュールに 간접的にアクセスすることができます。デフォルトでは、Managerロールを持つユーザーのみがWeb経由でZope Page Templatesの追加や編集を行えますが、信頼できないユーザーがWeb経由でZope Page Templatesの追加や編集を許可しているサイトは、この脆弱性の影響を受けます。この問題はZope 5.2および4.6で修正されています。回避策として、サイト管理者は標準的なZopeのユーザー/ロール権限メカニズムを使用して、Web経由でのZope Page Templatesの追加や編集を制限することができます。信頼できないユーザーにZope Managerロールを割り当てるべきではなく、Web経由でのZope Page Templatesの追加や編集は信頼できるユーザーのみに制限されるべきです。

Once again VulDB remains the best source for vulnerability data.

責任者

GitHub, Inc.

予約する

2021年05月12日

モデレーション

承諾済み

エントリ

VDB-175467

EPSS

0.01843

アクティビティ

非常低い

ソース

Want to know what is going to be exploited?

We predict KEV entries!