CVE-2012-5500

Опубликовано: 06 нояб. 2012

Источник: redhat

CVSS2: 2.6

EPSS Низкий

Описание

The batch id change script (renameObjectsByPaths.py) in Plone before 4.2.3 and 4.3 before beta 1 allows remote attackers to change the titles of content items by leveraging a valid CSRF token in a crafted request.

It was discovered that Plone, included as a part of luci, allowed a remote anonymous user to change titles of content items due to improper permissions checks.

Затронутые пакеты

Платформа	Пакет	Состояние	Рекомендация	Релиз
Red Hat Enterprise Linux 5	conga	Affected
Red Hat Enterprise Linux 5	conga	Fixed	RHSA-2014:1194	16.09.2014

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Low

Дефект:

CWE-284

https://bugzilla.redhat.com/show_bug.cgi?id=874649(Plone): Anonymous users can batch change titles of content items

EPSS

Процентиль: 56%

0.00343

Низкий

2.6 Low

CVSS2

Связанные уязвимости

CVE-2012-5500

nvd

почти 11 лет назад

GHSA-2q75-f7cp-w86q

CVSS3: 5.3

github

больше 3 лет назад

Plone contains Cross-site Request Forgery

ELSA-2014-1194

oracle-oval