TYPO3 PMK Shadowbox és SlimBox kiterjesztések cross-site scripting és fájl felfedés sérülékenységei

CH azonosító

CH-5821

Angol cím

TYPO3 PMK Shadowbox and SlimBox Extension Cross-Site Scripting and File Disclosure Vulnerabilities

Felfedezés dátuma

2011.10.23.

Súlyosság

Közepes

Érintett rendszerek

PMK Shadowbox extension
PMK SlimBox extension
TYPO3

Érintett verziók

TYPO3 PMK Shadowbox extension
TYPO3 PMK SlimBox extension

Összefoglaló

A TYPO3 PMK Shadowbox és SlimBox kiterjesztések olyan sérülékenységeit jelentették, amelyeket kihasználva a támadók bizalmas adatokat szerezhetnek meg és cross-site scripting (CSS/XSS) támadásokat hajthatnak végre.

Leírás

  1. Bizonyos fájlneveknek átadott bemenet nincs megfelelően ellenőrizve, mielőtt fájlok letöltéséhez használnák. Ez kihasználható tetszőleges fájlok letöltésére helyi útvonalakról.
  2. Bizonyos fájlneveknek átadott bemenet nincs megfelelően ellenőrizve, mielőtt mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngésző munkamenetében, az érintett oldallal kapcsolatosan.

A sérülékenységeket a TYPO3 PMK ShadowBox kiterjesztés 3.2.0. és korábbi, valamint a PMK SlimBox kiterjesztés 3.1.0. és korábbi verzióiban jelentették.

Megoldás

TYPO3 PMK Shadowbox kiterjesztés esetén frissítsen a 3.2.1 verzióra!
TYPO3 PMK SlimBox kiterjesztés esetén a gyártó tanácsa, hogy távolítsa el a kiterjesztést és törölje a mappáját.