[Plone-IT] Grave bug di sicurezza di Plone, password accessibili dall'anonimo
Fabrizio Reale
fabrizio.reale a redomino.com
Mer 1 Apr 2009 12:49:11 UTC
Ciao a tutti,
mentre facevo dei test per risolvere un problema
ho trovato quella che penso sia una grave falla di sicurezza in Plone.
Prima di segnalarla sul tracker di plone.org volevo almeno la conferma di qualcun altro.
In pratica se mettete lo script Python in allegato in custom e lo fate eseguire anche dall'anonimo
ottenete tutte le password degli utenti.
Basta andare all'indirizzo:
http://sitoplone/scopri_pwd
L'ho provato su un Plone 3.
Fatemi sapere se si presenta anche a voi
A presto,
Fabrizio
--
Fabrizio Reale
Redomino S.r.l.
Largo Valgioie 14,
10146 Torino Italy
Tel: +39 0117499875
http://redomino.com
-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome: scopri_pwd.py
Tipo: text/x-python
Dimensione: 1410 bytes
Descrizione: non disponibile
URL: <http://lists.plone.org/pipermail/plone-plone-it/attachments/20090401/6817adf9/attachment.py>
Maggiori informazioni sulla lista
Plone-IT