For the English version of this alert, click here.
Allele Security Alert
ASA-2018-00081
Identificador(es)
ASA-2018-00081, TYPO3-CORE-SA-2018-008
Título
Cross-Site Scripting no Frontend User Login
Fabricante(s)
TYPO3 Association
Produto(s)
TYPO3
Versão(ões) afetada(s)
TYPO3 7.0.0-7.6.31, 8.0.0-8.7.20 e 9.0.0-9.5.1
Versão(ões) corrigida(s)
TYPO3 versões 7.6.32, 8.7.21 ou 9.5.2
Prova de conceito
Desconhecida
Descrição
Deixar de codificar corretamente a entrada do usuário, a exibição do status de login é vulnerável a Cross-Site Scripting na interface do site. É necessária uma conta de usuário válida para explorar esta vulnerabilidade – seja um usuário de backend ou um usuário frontend com a possibilidade de modificar seu perfil de usuário.
Detalhes técnicos
Duas ocorrências permitem renderizar dados do usuário do frontend conectado no momento que não está validado e, assim, permitir ataques XSS por usuários front-end.
1. EXT: fe_login adiciona ### FEUSER_ {fieldname} ### para cada campo existente na tabela fe_users do banco de dados, que pode ser processada pelo TypoScript, mas é insegura por padrão.
2. config.USERNAME_substToken = <! – ### USERNAME ### -> define o nome de usuário dinamicamente, que é então inseguro.
Créditos
Thomas Löffler e Benni Mack (TYPO3 core team)
Referência(s)
TYPO3 9.5.2, 8.7.21 and 7.6.32 security releases published
https://typo3.org/article/typo3-952-8721-and-7632-security-releases-published/
TYPO3-CORE-SA-2018-008: Cross-Site Scripting in Frontend User Login
https://typo3.org/security/advisory/typo3-core-sa-2018-008/
[SECURITY] Prevent XSS with fe_users data in felogin/TSFE
https://github.com/TYPO3/TYPO3.CMS/commit/1c85fe70269e2ff8ecf0b6d5f16550c6cd0ddc78
[TYPO3-announce] Announcing TYPO3 v9.5.2, v8.7.21 and v7.6.32 security releases
http://lists.typo3.org/pipermail/typo3-announce/2018/000435.html
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 14 setembro 2019