Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

github логотип

GHSA-6mh3-j5r5-2379

Опубликовано: 22 июл. 2021
Источник: github
Github: Прошло ревью
CVSS3: 6.4

Описание

Cross-Site Scripting in Query Generator & Query View

Meta

  • CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N/E:F/RL:O/RC:C (4.5)

Problem

Failing to properly encode error messages, the components QueryGenerator and QueryView are vulnerable to both reflected and persistent cross-site scripting. A valid backend user account having administrator privileges is needed to exploit this vulnerability.

Solution

Update to TYPO3 versions 8.7.41 ELTS, 9.5.28, 10.4.18, 11.3.1 that fix the problem described.

Credits

Thanks to Richie Lee who reported this issue and to TYPO3 security team member Oliver Hader who fixed the issue.

References

Ссылки

Пакеты

Наименование

typo3/cms-core

composer
Затронутые версииВерсия исправления

>= 8.0.0, < 8.7.41

8.7.41

Наименование

typo3/cms-core

composer
Затронутые версииВерсия исправления

>= 9.0.0, < 9.5.28

9.5.28

Наименование

typo3/cms-core

composer
Затронутые версииВерсия исправления

>= 10.0.0, < 10.4.18

10.4.18

Наименование

typo3/cms-core

composer
Затронутые версииВерсия исправления

>= 11.0.0, < 11.3.1

11.3.1

Наименование

typo3/cms

composer
Затронутые версииВерсия исправления

>= 10.0.0, < 10.4.18

10.4.18

Наименование

typo3/cms

composer
Затронутые версииВерсия исправления

>= 11.0.0, < 11.3.1

11.3.1

Наименование

typo3/cms

composer
Затронутые версииВерсия исправления

>= 9.0.0, < 9.5.28

9.5.28

EPSS

Процентиль: 58%
0.00364
Низкий

6.4 Medium

CVSS3

CVE ID

CVE-2021-32668

Дефекты

CWE-79

Связанные уязвимости

nvd логотип

CVE-2021-32668

CVSS3: 6.4
nvd
больше 4 лет назад

TYPO3 is an open source PHP based web content management system. Versions 9.0.0 through 9.5.28, 10.0.0 through 10.4.17, and 11.0.0 through 11.3.0 have a cross-site scripting vulnerability. When error messages are not properly encoded, the components _QueryGenerator_ and _QueryView_ are vulnerable to both reflected and persistent cross-site scripting. A valid backend user account having administrator privileges is needed to exploit this vulnerability. TYPO3 versions 9.5.29, 10.4.18, 11.3.1 contain a patch for this issue.

fstec логотип

BDU:2021-04223

CVSS3: 4.8
fstec
больше 4 лет назад

Уязвимость компонентов Query Generator и Query View системы управления контентом TYPO3, позволяющая нарушителю осуществлять межсайтовые сценарные атаки

EPSS

Процентиль: 58%
0.00364
Низкий

6.4 Medium

CVSS3

CVE ID

CVE-2021-32668

Дефекты

CWE-79