eZ Publish 3.9.4和3.8.10的安全修正
eZ Publish 3.9.4和3.8.10版本修正了两个中等严重的安全问题。这些版本也修正了一些已报告的错误。因为我们只维护最近的两个主要版本,这表明已经结束了对eZ Publish 3.8.x版本的支持。支持的主要版本是现在的eZ Publish 3.9.x和eZ Publish 3.10.x。
以下提到的问题对于大部分用户并不是危险的,但是它们被分配到中等严重级别的安全问题。这是因为利用这些问题来查看应该为不可见的内容。
[EZSA-2007-004] 关键字获取函数没有使用 "hidden"标签
严重级别:中等
用来获取对象的模板函数包含的指定关键字没有考虑返回的节点是否被隐藏。例如,在标准的eZ Publish发布中,用户可以通过使用标签集来访问隐藏的博客。
[EZSA-2007-005] 内容模块的"浏览"视图没有考虑"隐藏" 标签
严重级别:中等
"内容" 模块的"浏览"视图没有考虑请求的节点是否被隐藏。这会使隐藏的节点名暴露给没有访问权限查看的用户。但是,只有节点名被暴露,并不是整个对象的内容。所以,要利用这个错误,用户还必须知道或猜到节点的ID。
eZ Publish 3.9.4 修改日志
eZ Publish 3.8.10 修改日志
版本可以从eZ publish的下载页面下载。