[Plone-IT] Grave bug di sicurezza di Plone, password accessibili dall'anonimo

Fabrizio Reale fabrizio.reale a redomino.com
Mer 1 Apr 2009 12:49:11 UTC


Ciao a tutti,
mentre facevo dei test per risolvere un problema
ho trovato quella che penso sia una grave falla di sicurezza in Plone.
Prima di segnalarla sul tracker di plone.org volevo almeno la conferma di qualcun altro.

In pratica se mettete lo script Python in allegato in custom e lo fate eseguire anche dall'anonimo
ottenete tutte le password degli utenti.
Basta andare all'indirizzo:
http://sitoplone/scopri_pwd

L'ho provato su un Plone 3.
Fatemi sapere se si presenta anche a voi

A presto,
Fabrizio


-- 
Fabrizio Reale

Redomino S.r.l.
Largo Valgioie 14, 
10146 Torino Italy
Tel: +39 0117499875
http://redomino.com
-------------- parte successiva --------------
Un allegato non testuale  stato rimosso....
Nome:        scopri_pwd.py
Tipo:        text/x-python
Dimensione:  1410 bytes
Descrizione: non disponibile
URL:         <http://lists.plone.org/pipermail/plone-plone-it/attachments/20090401/6817adf9/attachment.py>


Maggiori informazioni sulla lista Plone-IT