Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

github логотип

GHSA-8mq9-fqv8-59wf

Опубликовано: 22 июл. 2021
Источник: github
Github: Прошло ревью
CVSS3: 6.4

Описание

Cross-Site Scripting in Page Preview

Meta

  • CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N/E:F/RL:O/RC (5.0)

Problem

Failing to properly encode Page TSconfig settings, corresponding page preview module (Web>View) is vulnerable to persistent cross-site scripting. A valid backend user account is needed to exploit this vulnerability.

Solution

Update to TYPO3 versions 9.5.28, 10.4.18, 11.3.1 that fix the problem described.

Credits

Thanks to TYPO3 core merger Oliver Bartsch who reported and fixed the issue.

References

Ссылки

Пакеты

Наименование

typo3/cms-core

composer
Затронутые версииВерсия исправления

>= 9.0.0, < 9.5.28

9.5.28

Наименование

typo3/cms-core

composer
Затронутые версииВерсия исправления

>= 10.0.0, < 10.4.18

10.4.18

Наименование

typo3/cms-core

composer
Затронутые версииВерсия исправления

>= 11.0.0, < 11.3.1

11.3.1

Наименование

typo3/cms

composer
Затронутые версииВерсия исправления

>= 10.0.0, < 10.4.18

10.4.18

Наименование

typo3/cms

composer
Затронутые версииВерсия исправления

>= 11.0.0, < 11.3.1

11.3.1

Наименование

typo3/cms

composer
Затронутые версииВерсия исправления

>= 9.0.0, < 9.5.28

9.5.28

EPSS

Процентиль: 61%
0.00415
Низкий

6.4 Medium

CVSS3

CVE ID

CVE-2021-32667

Дефекты

CWE-79

Связанные уязвимости

nvd логотип

CVE-2021-32667

CVSS3: 6.4
nvd
больше 4 лет назад

TYPO3 is an open source PHP based web content management system. Versions 9.0.0 through 9.5.28, 10.0.0 through 10.4.17, and 11.0.0 through 11.3.0 have a cross-site scripting vulnerability. When _Page TSconfig_ settings are not properly encoded, corresponding page preview module (_Web>View_) is vulnerable to persistent cross-site scripting. A valid backend user account is needed to exploit this vulnerability. TYPO3 versions 9.5.29, 10.4.18, 11.3.1 contain a patch for this issue.

fstec логотип

BDU:2021-04222

CVSS3: 5.4
fstec
больше 4 лет назад

Уязвимость реализации конфигурации Page TSconfig системы управления контентом TYPO3, позволяющая нарушителю осуществлять межсайтовые сценарные атаки

EPSS

Процентиль: 61%
0.00415
Низкий

6.4 Medium

CVSS3

CVE ID

CVE-2021-32667

Дефекты

CWE-79