Összefoglaló
A TYPO3 esetében több biztonsági rés befoltozására nyílt lehetőség. Ezek XSS-alapú támadásokat, adatlopást, adatmanipulációkat és jogosulatlan rendszerhozzáférést is lehetővé tehetnek a támadók számára.
Leírás
A fejlesztők az alábbi sebehetőségeket orvosolták:
- fájlok metaadatainak kezelése (nem megfelelő a jogosultságok ellenőrzése)
- fájlokhoz való hozzáférések hibás szabályozása (root könyvtár elérés)
- munkamenetek kezelése (munkameneti azonosítók nem megfelelő generálása)
- XSS hiba – bemeneti paraméterek nem kellő szintű ellenőrzése.
Megoldás
A TYPO3 6.2.14 vagy a 7.3.1 verziók már nem tartalmazzák a sebezhetőséget.
Támadás típusa
Cross Site Scripting (XSS/CSS)Information disclosure (Információ/adat szivárgás)
Manipulation of data
System access (Rendszer hozzáférés)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)