CSRF-Lücke in CMS Plone beseitigt
Das Problem wurde mit einem eigens dafür entwickelten Anti-CSRF-Framework für Version 3.1 des Content-Management-Systems gelöst, das zusätzlich für die Version 3.0 als Hotfix verfügbar ist.
Die Entwickler des Content-Management-Systems Plone haben auf die Version 3.1.1 verwiesen, in der eine Cross-Site-Request-Forgery-Schwachstelle (CSRF) beseitigt ist. Durch die Schwachstelle wäre ein Angreifer in der Lage, über in Webseiten versteckte HTTP-Request die Einstellungen eines Anwenders – etwa seine E-Mail-Adresse – zu ändern.
Das Problem wurde mit einem eigens dafür entwickelten Anti-CSRF-Framework gelöst, das zusätzlich für die Version 3.0 als Hotfix verfügbar ist. Version 3.1.1 ist die erste der 3.1-Serie und enthält zudem zahlreiche Neuerungen und Verbesserungen. Aktuell ist bereits sogar schon 3.1.2 zum Download verfügbar. 3.1 ist selbst aufgrund diverser Bugs nie erschienen.
Siehe dazu auch:
- Plone Hotfix CVE-2008-0164, Fehlerbericht von Plone
- Plone 3.1.1 released, Ankündigung von Plone
(dab)