CVE-2021-32674
Remote Code Execution via traversal in TAL expressions
Severity Score
Exploit Likelihood
Affected Versions
Public Exploits
0Exploited in Wild
-Decision
Descriptions
Zope is an open-source web application server. This advisory extends the previous advisory at https://github.com/zopefoundation/Zope/security/advisories/GHSA-5pr9-v234-jw36 with additional cases of TAL expression traversal vulnerabilities. Most Python modules are not available for using in TAL expressions that you can add through-the-web, for example in Zope Page Templates. This restriction avoids file system access, for example via the 'os' module. But some of the untrusted modules are available indirectly through Python modules that are available for direct use. By default, you need to have the Manager role to add or edit Zope Page Templates through the web. Only sites that allow untrusted users to add/edit Zope Page Templates through the web are at risk. The problem has been fixed in Zope 5.2.1 and 4.6.1. The workaround is the same as for https://github.com/zopefoundation/Zope/security/advisories/GHSA-5pr9-v234-jw36: A site administrator can restrict adding/editing Zope Page Templates through the web using the standard Zope user/role permission mechanisms. Untrusted users should not be assigned the Zope Manager role and adding/editing Zope Page Templates through the web should be restricted to trusted users only.
Zope es un servidor de aplicaciones web de código abierto. Este aviso amplía el aviso anterior en https://github.com/zopefoundation/Zope/security/advisories/GHSA-5pr9-v234-jw36 con casos adicionales de vulnerabilidades de cruce de expresiones TAL. La mayoría de los módulos de Python no están disponibles para su uso en expresiones TAL que se pueden añadir a través de la web, por ejemplo en las plantillas de páginas de Zope. Esta restricción evita el acceso al sistema de archivos, por ejemplo a través del módulo 'os'. Pero algunos de los módulos no confiables están disponibles indirectamente a través de los módulos de Python que están disponibles para su uso directo. Por defecto, es necesario tener el rol de Administrador para añadir o editar Plantillas de Página Zope a través de la web. Sólo los sitios que permiten a los usuarios no confiables añadir/editar Plantillas de Página Zope a través de la web están en riesgo. El problema se ha solucionado en Zope versiones 5.2.1 y 4.6.1. La solución es la misma que para https://github.com/zopefoundation/Zope/security/advisories/GHSA-5pr9-v234-jw36: Un administrador del sitio puede restringir la adición/edición de Plantillas de Página Zope a través de la web utilizando los mecanismos estándar de permisos de usuario/rol de Zope. A los usuarios que no sean de confianza no se les debe asignar el rol de Gestor de Zope y añadir/editar Plantillas de Página Zope a través de la web debe estar restringido sólo a los usuarios de confianza
CVSS Scores
SSVC
- Decision:-
Timeline
- 2021-05-12 CVE Reserved
- 2021-06-08 CVE Published
- 2024-02-09 EPSS Updated
- 2024-08-03 CVE Updated
- ---------- Exploited in Wild
- ---------- KEV Due Date
- ---------- First Exploit
CWE
- CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')
CAPEC
References (4)
URL | Tag | Source |
---|---|---|
https://github.com/zopefoundation/Zope/security/advisories/GHSA-5pr9-v234-jw36 | Third Party Advisory | |
https://github.com/zopefoundation/Zope/security/advisories/GHSA-rpcg-f9q6-2mq6 | Third Party Advisory | |
https://pypi.org/project/Zope | Product |
URL | Date | SRC |
---|
URL | Date | SRC |
---|---|---|
https://github.com/zopefoundation/Zope/commit/1d897910139e2c0b11984fc9b78c1da1365bec21 | 2022-01-21 |
URL | Date | SRC |
---|
Affected Vendors, Products, and Versions
Vendor | Product | Version | Other | Status | ||||||
---|---|---|---|---|---|---|---|---|---|---|
Vendor | Product | Version | Other | Status | <-- --> | Vendor | Product | Version | Other | Status |
Zope Search vendor "Zope" | Zope Search vendor "Zope" for product "Zope" | < 4.6.1 Search vendor "Zope" for product "Zope" and version " < 4.6.1" | - |
Affected
| ||||||
Zope Search vendor "Zope" | Zope Search vendor "Zope" for product "Zope" | >= 5.0.0 < 5.2.1 Search vendor "Zope" for product "Zope" and version " >= 5.0.0 < 5.2.1" | - |
Affected
|