检测

TYPO3 8.5.x < 8.7.27 / 9.x < 9.5.8 会话劫持 (TYPO3-CORE-SA-2019-018)

low Nessus 插件 ID 138599

语言:

简介

The remote web server contains a PHP script that is affected by a session hijacking vulnerability.

描述

远程主机上安装的 TYPO3 版本为低于 8.7.27 的 8.5.x 或低于 9.5.8 的 9.x。因此,该主机受到会话劫持漏洞的影响,这是未正确清理用户会话所致。当用户注销时,其会话将转移至匿名用户的会话。如果未经身份验证的本地攻击者具有访问同一客户端应用程序的权限,可以访问登录用户曾使用的应用程序,则可利用此漏洞在该用户的上下文中执行操作。

请注意,Nessus 尚未测试此问题,而是只依靠应用程序自我报告的版本

解决方案

Upgrade to TYPO3 8.7.27, 9.5.8 or later.

另见

http://www.nessus.org/u?47ca6560

插件详情

严重性: Low

ID: 138599

文件名: typo3_core-sa-2019-018.nasl

版本: 1.4

类型: remote

系列: CGI abuses

发布时间: 2020/7/17

最近更新时间: 2025/5/14

配置: 启用全面检查 (optional)

支持的传感器: Nessus

Enable CGI Scanning: true

风险信息

CVSS 分数理由: Based on vendor advisory analysis

CVSS v2

风险因素: Low

基本分数: 2.1

矢量: CVSS2#AV:L/AC:L/Au:N/C:P/I:N/A:N

CVSS 分数来源: manual

CVSS v3

风险因素: Low

基本分数: 3.6

矢量: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:C/C:L/I:N/A:N

漏洞信息

CPE: cpe:/a:typo3:typo3

必需的 KB 项: www/PHP, installed_sw/TYPO3

补丁发布日期: 2019/6/25

漏洞发布日期: 2019/6/25