Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

github логотип

GHSA-rgcg-28xm-8mmw

Опубликовано: 22 июл. 2021
Источник: github
Github: Прошло ревью
CVSS3: 6.4

Описание

Cross-Site Scripting in Backend Grid View

Problem

Failing to properly encode settings for backend layouts, the corresponding grid view is vulnerable to persistent cross-site scripting. A valid backend user account is needed to exploit this vulnerability.

Solution

Update to TYPO3 versions 8.7.41 ELTS, 9.5.28, 10.4.18, 11.3.1 that fix the problem described.

Credits

Thanks to TYPO3 core merger Oliver Bartsch who reported and fixed the issue.

Ссылки

Пакеты

Наименование

typo3/cms-core

composer
Затронутые версииВерсия исправления

>= 8.0.0, < 8.7.41

8.7.41

Наименование

typo3/cms-core

composer
Затронутые версииВерсия исправления

>= 9.0.0, < 9.5.28

9.5.28

Наименование

typo3/cms-core

composer
Затронутые версииВерсия исправления

>= 10.0.0, < 10.4.18

10.4.18

Наименование

typo3/cms-core

composer
Затронутые версииВерсия исправления

>= 11.0.0, < 11.3.1

11.3.1

Наименование

typo3/cms

composer
Затронутые версииВерсия исправления

>= 10.0.0, < 10.4.18

10.4.18

Наименование

typo3/cms

composer
Затронутые версииВерсия исправления

>= 11.0.0, < 11.3.1

11.3.1

Наименование

typo3/cms

composer
Затронутые версииВерсия исправления

>= 9.0.0, < 9.5.28

9.5.28

EPSS

Процентиль: 59%
0.00374
Низкий

6.4 Medium

CVSS3

CVE ID

CVE-2021-32669

Дефекты

CWE-79

Связанные уязвимости

nvd логотип

CVE-2021-32669

CVSS3: 6.4
nvd
больше 4 лет назад

TYPO3 is an open source PHP based web content management system. Versions 9.0.0 through 9.5.28, 10.0.0 through 10.4.17, and 11.0.0 through 11.3.0 have a cross-site scripting vulnerability. When settings for _backend layouts_ are not properly encoded, the corresponding grid view is vulnerable to persistent cross-site scripting. A valid backend user account is needed to exploit this vulnerability. TYPO3 versions 9.5.29, 10.4.18, 11.3.1 contain a patch for this vulnerability.

fstec логотип

BDU:2021-04221

CVSS3: 5.4
fstec
больше 4 лет назад

Уязвимость системы управления контентом TYPO3, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю осуществлять межсайтовые сценарные атаки

EPSS

Процентиль: 59%
0.00374
Низкий

6.4 Medium

CVSS3

CVE ID

CVE-2021-32669

Дефекты

CWE-79