[Plone-IT] Grave bug di sicurezza di Plone, password accessibili dall'anonimo

luigi scarso luigi.scarso a gmail.com
Mer 1 Apr 2009 12:55:59 UTC


2009/4/1 Fabrizio Reale <fabrizio.reale a redomino.com>

> Ciao a tutti,
> mentre facevo dei test per risolvere un problema
> ho trovato quella che penso sia una grave falla di sicurezza in Plone.
> Prima di segnalarla sul tracker di plone.org volevo almeno la conferma di
> qualcun altro.
>
> In pratica se mettete lo script Python in allegato in custom e lo fate
> eseguire anche dall'anonimo
> ottenete tutte le password degli utenti.
> Basta andare all'indirizzo:
> http://sitoplone/scopri_pwd
>
> L'ho provato su un Plone 3.
> Fatemi sapere se si presenta anche a voi
>
> A presto,
> Fabrizio
>

1 aprile ?

-- 
luigi
-------------- parte successiva --------------
Un allegato HTML  stato rimosso...
URL: <http://lists.plone.org/pipermail/plone-plone-it/attachments/20090401/f3a87664/attachment.html>


Maggiori informazioni sulla lista Plone-IT