J'en parlais, il y a quelques mois, les failles de sécurité de Plone sont rares, mais lorsque l'on en découvre une et qu'elle est exploitée, elle peut faire mal.

Cette fois, la faille de sécurité s'identifie au niveau du portal_memberdata. Il était possible d'exécuter du code python grâce aux modules statusmessage et linkintegrity.
Pour vérifier si votre site plone est impacté, sous google tapez :
site:monsite.com inurl:portal_memberdata sex
et vous aurez directement la réponse sous les yeux.
N'oubliez pas bien sur de bookmarker les différents liens contenus dans les pages pour une consultation ultérieure…

Pour supprimer et éviter de se faire spammer, la première chose est de supprimer le droit "add portal member" aux anonymes, de supprimer tous les comptes indésirables, puis depuis la ZMI dans le portal_memberdata de purger le contenu.
Bien entendu, cette méthode n'est qu'une rustine, la meilleur façon est encore de mettre à jour votre version de plone, soit en 3.0.6 soit en 2.5.5

Avez-vous déjà été confronté à des failles de sécurité ?

Via TrendLabs