ASA-2018-00079 – TYPO3: Cross-Site Scripting na renderização de ativos de mídia on-line


For the English version of this alert, click here.

Allele Security Alert

ASA-2018-00079

Identificador(es)

ASA-2018-00079, TYPO3-CORE-SA-2018-006

Título

Cross-Site Scripting na renderização de ativos de mídia on-line

Fabricante(s)

TYPO3 Association

Produto(s)

TYPO3

Versão(ões) afetada(s)

TYPO3 7.5.0-7.6.31, 8.0.0-8.7.20 e 9.0.0-9.5.1

Versão(ões) corrigida(s)

TYPO3 versões 7.6.32, 8.7.21 ou 9.5.2

Prova de conceito

Desconhecida

Descrição

Falha ao codificar corretamente a entrada do usuário, a renderização de ativos de mídia on-line (arquivos * .youtube e * .vimeo) é vulnerável a Cross-Site Scripting. Uma conta de usuário de back-end ou acesso de escrita válido no sistema do servidor (por exemplo, SFTP) é necessária para explorar essa vulnerabilidade.

Detalhes técnicos

Desconhecido

Créditos

András Ottó, Susanne Moog (TYPO3 core team) e Stefan Neufeind (TYPO3 core team)

Referência(s)

TYPO3 9.5.2, 8.7.21 and 7.6.32 security releases published
https://typo3.org/article/typo3-952-8721-and-7632-security-releases-published/

TYPO3-CORE-SA-2018-006: Cross-Site Scripting in Online Media Asset Rendering
https://typo3.org/security/advisory/typo3-core-sa-2018-006/

[SECURITY] Properly escape videoId for YouTube/Vimeo
https://github.com/TYPO3/TYPO3.CMS/commit/a32a9a746f807b14571139f0cb7caa00b8d037a5

[TYPO3-announce] Announcing TYPO3 v9.5.2, v8.7.21 and v7.6.32 security releases
http://lists.typo3.org/pipermail/typo3-announce/2018/000435.html

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 14 setembro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.