ASA-2018-00080 – TYPO3: Cross-Site Scripting no Backend Modal Component


For the English version of this alert, click here.

Allele Security Alert

ASA-2018-00080

Identificador(es)

ASA-2018-00080, TYPO3-CORE-SA-2018-007

Título

Cross-Site Scripting no Backend Modal Component

Fabricante(s)

TYPO3 Association

Produto(s)

TYPO3

Versão(ões) afetada(s)

TYPO3 7.1.0-7.6.31, 8.5.0-8.7.20 e 9.0.0-9.5.1

Versão(ões) corrigida(s)

TYPO3 versões 7.6.32, 8.7.21 e 9.5.2

Prova de conceito

Desconhecida

Descrição

Deixar de codificar corretamente a entrada do usuário, as notificações exibidas em janelas modais no back-end do TYPO3 são vulneráveis a Cross-Site Scripting. Uma conta de usuário de back-end válida é necessária para explorar esta vulnerabilidade.

Detalhes técnicos

Desconhecido

Créditos

Joshua Westerheide e Frank Nägler (TYPO3 core team)

Referência(s)

TYPO3 9.5.2, 8.7.21 and 7.6.32 security releases published
https://typo3.org/article/typo3-952-8721-and-7632-security-releases-published/

TYPO3-CORE-SA-2018-007: Cross-Site Scripting in Backend Modal Component
https://typo3.org/security/advisory/typo3-core-sa-2018-007/

[SECURITY] Prevent XSS in modal component and PageTree
https://github.com/TYPO3/TYPO3.CMS/commit/02cd5c97228cba477d16c68e28309ce25c433ce9

[TYPO3-announce] Announcing TYPO3 v9.5.2, v8.7.21 and v7.6.32 security releases
http://lists.typo3.org/pipermail/typo3-announce/2018/000435.html

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 1 fevereiro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.