For the English version of this alert, click here.
Allele Security Alert
ASA-2018-00079
Identificador(es)
ASA-2018-00079, TYPO3-CORE-SA-2018-006
Título
Cross-Site Scripting na renderização de ativos de mídia on-line
Fabricante(s)
TYPO3
Produto(s)
TYPO3
Versão(ões) afetada(s)
TYPO3 7.5.0-7.6.31, 8.0.0-8.7.20 e 9.0.0-9.5.1
Versão(ões) corrigida(s)
TYPO3 versões 7.6.32, 8.7.21 ou 9.5.2
Prova de conceito
Desconhecida
Descrição
Falha ao codificar corretamente a entrada do usuário, a renderização de ativos de mídia on-line (arquivos * .youtube e * .vimeo) é vulnerável a Cross-Site Scripting. Uma conta de usuário de back-end ou acesso de escrita válido no sistema do servidor (por exemplo, SFTP) é necessária para explorar essa vulnerabilidade.
Detalhes técnicos
Desconhecido
Créditos
András Ottó, Susanne Moog (TYPO3 core team) e Stefan Neufeind (TYPO3 core team)
Referência(s)
TYPO3 9.5.2, 8.7.21 and 7.6.32 security releases published
https://typo3.org/article/typo3-952-8721-and-7632-security-releases-published/
TYPO3-CORE-SA-2018-006: Cross-Site Scripting in Online Media Asset Rendering
https://typo3.org/security/advisory/typo3-core-sa-2018-006/
[SECURITY] Properly escape videoId for YouTube/Vimeo
https://github.com/TYPO3/TYPO3.CMS/commit/a32a9a746f807b14571139f0cb7caa00b8d037a5
[TYPO3-announce] Announcing TYPO3 v9.5.2, v8.7.21 and v7.6.32 security releases
http://lists.typo3.org/pipermail/typo3-announce/2018/000435.html
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 17 de dezembro de 2018