CERTA : Vulnérabilité dans Plone
novembre 2007 par CERT-FR
1 Risque
Exécution de code arbitraire à distance.
2 Systèmes affectés
* Plone versions 2.5.4 et antérieures ;
* Plone versions 3.0.2 et antérieures.
3 Résumé
Une vulnérabilité dans deux composants de Plone permet d’exécuter du code
Python à distance.
4 Description
Une vulnérabilité a été découverte dans les composants statusmessages et
linkintegrity du logiciel de gestion de contenu Plone. Des données réseau
spécifiquement constituées peuvent être interprétées par Plone comme des Python
pickles (mécanisme permettant de transposer un objet Python en chaîne de
caractères et inversement), permettant ainsi d’exécuter du code Python dans le
contexte de Zope/Plone.
5 Solution
Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs
(cf. section Documentation).
6 Documentation
* Bulletin de sécurité Plone du 06 novembre 2007 :
http://plone.org/about/security/advisories/cve-2007-5741
* Référence CVE CVE-2007-5741 :