// For flags

CVE-2021-32674

Remote Code Execution via traversal in TAL expressions

Severity Score

8.8
*CVSS v3.1

Exploit Likelihood

*EPSS

Affected Versions

*CPE

Public Exploits

0
*Multiple Sources

Exploited in Wild

-
*KEV

Decision

-
*SSVC
Descriptions

Zope is an open-source web application server. This advisory extends the previous advisory at https://github.com/zopefoundation/Zope/security/advisories/GHSA-5pr9-v234-jw36 with additional cases of TAL expression traversal vulnerabilities. Most Python modules are not available for using in TAL expressions that you can add through-the-web, for example in Zope Page Templates. This restriction avoids file system access, for example via the 'os' module. But some of the untrusted modules are available indirectly through Python modules that are available for direct use. By default, you need to have the Manager role to add or edit Zope Page Templates through the web. Only sites that allow untrusted users to add/edit Zope Page Templates through the web are at risk. The problem has been fixed in Zope 5.2.1 and 4.6.1. The workaround is the same as for https://github.com/zopefoundation/Zope/security/advisories/GHSA-5pr9-v234-jw36: A site administrator can restrict adding/editing Zope Page Templates through the web using the standard Zope user/role permission mechanisms. Untrusted users should not be assigned the Zope Manager role and adding/editing Zope Page Templates through the web should be restricted to trusted users only.

Zope es un servidor de aplicaciones web de código abierto. Este aviso amplía el aviso anterior en https://github.com/zopefoundation/Zope/security/advisories/GHSA-5pr9-v234-jw36 con casos adicionales de vulnerabilidades de cruce de expresiones TAL. La mayoría de los módulos de Python no están disponibles para su uso en expresiones TAL que se pueden añadir a través de la web, por ejemplo en las plantillas de páginas de Zope. Esta restricción evita el acceso al sistema de archivos, por ejemplo a través del módulo 'os'. Pero algunos de los módulos no confiables están disponibles indirectamente a través de los módulos de Python que están disponibles para su uso directo. Por defecto, es necesario tener el rol de Administrador para añadir o editar Plantillas de Página Zope a través de la web. Sólo los sitios que permiten a los usuarios no confiables añadir/editar Plantillas de Página Zope a través de la web están en riesgo. El problema se ha solucionado en Zope versiones 5.2.1 y 4.6.1. La solución es la misma que para https://github.com/zopefoundation/Zope/security/advisories/GHSA-5pr9-v234-jw36: Un administrador del sitio puede restringir la adición/edición de Plantillas de Página Zope a través de la web utilizando los mecanismos estándar de permisos de usuario/rol de Zope. A los usuarios que no sean de confianza no se les debe asignar el rol de Gestor de Zope y añadir/editar Plantillas de Página Zope a través de la web debe estar restringido sólo a los usuarios de confianza

*Credits: N/A
CVSS Scores
Attack Vector
Network
Attack Complexity
Low
Privileges Required
Low
User Interaction
None
Scope
Unchanged
Confidentiality
High
Integrity
High
Availability
High
Attack Vector
Network
Attack Complexity
Low
Authentication
Single
Confidentiality
Partial
Integrity
Partial
Availability
Partial
* Common Vulnerability Scoring System
SSVC
  • Decision:-
Exploitation
-
Automatable
-
Tech. Impact
-
* Organization's Worst-case Scenario
Timeline
  • 2021-05-12 CVE Reserved
  • 2021-06-08 CVE Published
  • 2024-02-09 EPSS Updated
  • 2024-08-03 CVE Updated
  • ---------- Exploited in Wild
  • ---------- KEV Due Date
  • ---------- First Exploit
CWE
  • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')
CAPEC
Affected Vendors, Products, and Versions
Vendor Product Version Other Status
Vendor Product Version Other Status <-- --> Vendor Product Version Other Status
Zope
Search vendor "Zope"
 Zope
Search vendor "Zope" for product "Zope"
 < 4.6.1
Search vendor "Zope" for product "Zope" and version " < 4.6.1"
-
Affected
Zope
Search vendor "Zope"
 Zope
Search vendor "Zope" for product "Zope"
 >= 5.0.0 < 5.2.1
Search vendor "Zope" for product "Zope" and version " >= 5.0.0 < 5.2.1"
-
Affected