Összefoglaló
A TYPO3 több biztonsági hibát is rejt. Ezek adatlopást, illetve adatmanipulációt segíthetnek elő.
Leírás
Az egyik sérülékenység a telepítési útvonal feltérképezéséhez járulhat hozzá, amihez egy speciálisan összeállított PHP scriptet kell használni.
Egy másik sérülékenység a sanitizeLocalUrl() függvényben található, amely esetenként nem szűri megfelelően a bemenő, HTML-formátumú adatokat, paramétereket. Problémát base64-kódolt bemeneti értékek okozhatnak. Ez a biztonsági hiba speciálisan összeállított URL-ekkel válhat kihasználhatóvá, és tetszőleges HTML, illetve script kódokkal történő visszaélésekre adhat lehetőséget.
Megoldás
A 6.2.15 vagy a 7.4.0 verziókra történő frissítés.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: typo3.org
Egyéb referencia: isbk.hu
CVE-2015-5956 - NVD CVE-2015-5956