CH azonosító
CH-5821Angol cím
TYPO3 PMK Shadowbox and SlimBox Extension Cross-Site Scripting and File Disclosure VulnerabilitiesFelfedezés dátuma
2011.10.23.Súlyosság
KözepesÉrintett rendszerek
PMK Shadowbox extensionPMK SlimBox extension
TYPO3
Érintett verziók
TYPO3 PMK Shadowbox extension
TYPO3 PMK SlimBox extension
Összefoglaló
A TYPO3 PMK Shadowbox és SlimBox kiterjesztések olyan sérülékenységeit jelentették, amelyeket kihasználva a támadók bizalmas adatokat szerezhetnek meg és cross-site scripting (CSS/XSS) támadásokat hajthatnak végre.
Leírás
- Bizonyos fájlneveknek átadott bemenet nincs megfelelően ellenőrizve, mielőtt fájlok letöltéséhez használnák. Ez kihasználható tetszőleges fájlok letöltésére helyi útvonalakról.
- Bizonyos fájlneveknek átadott bemenet nincs megfelelően ellenőrizve, mielőtt mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngésző munkamenetében, az érintett oldallal kapcsolatosan.
A sérülékenységeket a TYPO3 PMK ShadowBox kiterjesztés 3.2.0. és korábbi, valamint a PMK SlimBox kiterjesztés 3.1.0. és korábbi verzióiban jelentették.
Megoldás
TYPO3 PMK Shadowbox kiterjesztés esetén frissítsen a 3.2.1 verzióra!
TYPO3 PMK SlimBox kiterjesztés esetén a gyártó tanácsa, hogy távolítsa el a kiterjesztést és törölje a mappáját.
Támadás típusa
Input manipulation (Bemenet módosítás)Unspecified (Nem részletezett)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 46499
SECUNIA 46437
Gyártói referencia: typo3.org