FreeBSD:typo3 -- TYPO3 Core 中的多种漏洞 (48bcb4b2-e708-11e1-a59d-000d601460a4)
high Nessus 插件 ID 61557
语言:
简介
远程 FreeBSD 主机缺少一个或多个与安全有关的更新。描述
Typo 安全团队报告:已发现 TYPO3 Core 容易受到跨站脚本、信息泄露、不安全的反序列化的影响,从而导致任意代码执行。
TYPO3 后端帮助系统 - 由于缺少 view_help.php 文件中参数的签名 (HMAC),攻击者可反序列化 TYPO3 内的任意对象。我们知道存在可导致任意代码执行的有效利用漏洞。利用此漏洞需要有效的后端用户登录或多次成功的跨站请求伪造攻击。
TYPO3 后端 - 由于无法正确对多个位置的用户输入进行 HTML 编码,TYPO3 后端容易受到跨站脚本的影响。需要有效的后端用户才能利用这些漏洞。
TYPO3 后端 - 访问配置模块可泄露加密密钥。利用此漏洞需要具有配置模块访问权限的有效后端用户。
TYPO3 HTML 审查 API - 由于不删除多个 HTML5 JavaScript 事件,API 方法 t3lib_div::RemoveXSS() 无法过滤特别构建的 HTML 注入,因此容易受到跨站脚本的影响。由于未能正确编码 JavaScript,API 方法 t3lib_div::quoteJSvalue() 容易受到跨站脚本的影响。
TYPO3 安装工具 - 由于未能正确审查用户输入,安装工具容易受到跨站脚本的影响。
解决方案
更新受影响的程序包。另见
插件详情
严重性: High
ID: 61557
文件名: freebsd_pkg_48bcb4b2e70811e1a59d000d601460a4.nasl
版本: 1.5
类型: local
发布时间: 2012/8/16
最近更新时间: 2021/1/6
支持的传感器: Nessus
漏洞信息
CPE: p-cpe:/a:freebsd:freebsd:typo3, cpe:/o:freebsd:freebsd
必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
补丁发布日期: 2012/8/15
漏洞发布日期: 2012/8/15