CH azonosító
CH-3687Angol cím
TYPO3 powermail Extension Cross-Site Scripting and SQL Injection VulnerabilitiesFelfedezés dátuma
2010.09.21.Súlyosság
KözepesÖsszefoglaló
A TYPO3 powermail kiegészítő több sérülékenységét jelentették, amelyeket kihasználva a távoli támadók cross-site scripting (XSS/CSS) valamint SQL befecskendezéses támadásokat indíthatnak.
Leírás
- Nem részletezett bemeneti adat nincs megfelelően megtisztítva, a felhasználónak történő visszaadás előtt. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.
- Nem részletezett bemeneti adat nincs megfelelően megtisztítva, mielőtt SQL lekérdezésekben használnák. Ez kihasználható az SQL lekérdezések módosítására, tetszőleges kód befecskendezésével.
A sérülékenységeket az 1.5.4 előtti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: typo3.org
SECUNIA 41530