Описание
TYPO3 Fluid Engine (package typo3fluid/fluid) before versions 2.0.5, 2.1.4, 2.2.1, 2.3.5, 2.4.1, 2.5.5 or 2.6.1 is vulnerable to cross-site scripting when making use of the ternary conditional operator in templates like {showFullName ? fullName : defaultValue}. Updated versions of this package are bundled in following TYPO3 (typo3/cms-core) versions as well: TYPO3 v8.7.25 (using typo3fluid/fluid v2.5.4) and TYPO3 v9.5.6 (using typo3fluid/fluid v2.6.1).
Ссылки
- PatchThird Party Advisory
- ExploitThird Party Advisory
- ExploitThird Party Advisory
- PatchThird Party Advisory
- ExploitThird Party Advisory
- ExploitThird Party Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 2.0.5 (исключая)Версия от 2.1.0 (включая) до 2.1.4 (исключая)Версия от 2.2.0 (включая) до 2.2.1 (исключая)Версия от 2.3.0 (включая) до 2.3.5 (исключая)Версия от 2.4.0 (включая) до 2.4.1 (исключая)Версия от 2.5.0 (включая) до 2.5.5 (исключая)Версия от 2.6.0 (включая) до 2.6.1 (исключая)
Одно из
cpe:2.3:a:typo3:fluid_engine:*:*:*:*:*:*:*:*
cpe:2.3:a:typo3:fluid_engine:*:*:*:*:*:*:*:*
cpe:2.3:a:typo3:fluid_engine:*:*:*:*:*:*:*:*
cpe:2.3:a:typo3:fluid_engine:*:*:*:*:*:*:*:*
cpe:2.3:a:typo3:fluid_engine:*:*:*:*:*:*:*:*
cpe:2.3:a:typo3:fluid_engine:*:*:*:*:*:*:*:*
cpe:2.3:a:typo3:fluid_engine:*:*:*:*:*:*:*:*
Конфигурация 2
Одно из
cpe:2.3:a:typo3:typo3:8.7.25:*:*:*:*:*:*:*
cpe:2.3:a:typo3:typo3:9.5.6:*:*:*:*:*:*:*
EPSS
Процентиль: 56%
0.00341
Низкий
4.7 Medium
CVSS3
6.1 Medium
CVSS3
4.3 Medium
CVSS2
Дефекты
CWE-601
CWE-79
Связанные уязвимости
CVSS3: 4.7
github
больше 5 лет назад
Cross-Site Scripting in ternary conditional operator
EPSS
Процентиль: 56%
0.00341
Низкий
4.7 Medium
CVSS3
6.1 Medium
CVSS3
4.3 Medium
CVSS2
Дефекты
CWE-601
CWE-79