TYPO3 PMK Shadowbox és SlimBox kiterjesztések cross-site scripting és fájl felfedés sérülékenységei

CH azonosító

CH-5821

Angol cím

TYPO3 PMK Shadowbox and SlimBox Extension Cross-Site Scripting and File Disclosure Vulnerabilities

Felfedezés dátuma

2011.10.23.

Súlyosság

Közepes

Érintett rendszerek

PMK Shadowbox extension
PMK SlimBox extension
TYPO3

Érintett verziók

TYPO3 PMK Shadowbox extension
TYPO3 PMK SlimBox extension

Összefoglaló

A TYPO3 PMK Shadowbox és SlimBox kiterjesztések olyan sérülékenységeit jelentették, amelyeket kihasználva a támadók bizalmas adatokat szerezhetnek meg és cross-site scripting (CSS/XSS) támadásokat hajthatnak végre.

Leírás

  1. Bizonyos fájlneveknek átadott bemenet nincs megfelelően ellenőrizve, mielőtt fájlok letöltéséhez használnák. Ez kihasználható tetszőleges fájlok letöltésére helyi útvonalakról.
  2. Bizonyos fájlneveknek átadott bemenet nincs megfelelően ellenőrizve, mielőtt mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngésző munkamenetében, az érintett oldallal kapcsolatosan.

A sérülékenységeket a TYPO3 PMK ShadowBox kiterjesztés 3.2.0. és korábbi, valamint a PMK SlimBox kiterjesztés 3.1.0. és korábbi verzióiban jelentették.

Megoldás

TYPO3 PMK Shadowbox kiterjesztés esetén frissítsen a 3.2.1 verzióra!
TYPO3 PMK SlimBox kiterjesztés esetén a gyártó tanácsa, hogy távolítsa el a kiterjesztést és törölje a mappáját.


Legfrissebb sérülékenységek
CVE-2024-29944 – Mozilla Firefox ESR sérülékenysége
CVE-2024-29943 – Mozilla Firefox sérülékenysége
CVE-2024-28916 – Xbox Gaming Services sérülékenysége
CVE-2023-46808 – Ivanti Neurons for ITSM sérülékenysége
CVE-2024-2169 – UDP sérülékenysége
CVE-2023-41724 – Ivanti Standalone Sentry sérülékenysége
CVE-2024-27957 – Pie Register sérülékenysége
CVE-2024-25153 – Fortra FileCatalyst sérülékenysége
CVE-2024-21407 – Windows Hyper-V sérülékenysége
CVE-2024-21390 – Microsoft Authenticator sérülékenysége
Tovább a sérülékenységekhez »