Érintett rendszerek
TYPO3WEC Discussion Forum component
Érintett verziók
TYPO3 WEC Discussion Forum component 1.x
Összefoglaló
Több sérülékenységet találtak a WEC Discussion Forum (wec_discussion) TYPO3 kiegészítőben, amiket rosszindulatú támadók cross-site scripting támadásra, vagy akár a rendszer feltörésére használhatnak.
Leírás
Több sérülékenységet találtak a WEC Discussion Forum (wec_discussion) TYPO3 kiegészítőben, amiket rosszindulatú támadók cross-site scripting támadásra, vagy akár a rendszer feltörésére használhatnak.
- Bizonyos fájl típusoknál fellépő bemenet ellenőrzési hibát tetszőleges kód lefuttatására lehet kihasználni.
- Egyes meg nem határozott paramétereknek átadott bemenet nincs megfelelően ellenőrizve, mielőtt visszakerülne a felhasználóhoz. Ezt kihasználva tetszőleges HTML és script kód futtatható le a felhasználó böngészőjében, az érintett oldal vonatkozásában.
A sérülékenységek az 1.6.2. és azt megelőző verziókat érintik.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: typo3.org
SECUNIA 30905