ASA-2018-00081 – TYPO3: Cross-Site Scripting no Frontend User Login


For the English version of this alert, click here.

Allele Security Alert

ASA-2018-00081

Identificador(es)

ASA-2018-00081, TYPO3-CORE-SA-2018-008

Título

Cross-Site Scripting no Frontend User Login

Fabricante(s)

TYPO3

Produto(s)

TYPO3

Versão(ões) afetada(s)

TYPO3 7.0.0-7.6.31, 8.0.0-8.7.20 e 9.0.0-9.5.1

Versão(ões) corrigida(s)

TYPO3 versões 7.6.32, 8.7.21 ou 9.5.2

Prova de conceito

Desconhecida

Descrição

Deixar de codificar corretamente a entrada do usuário, a exibição do status de login é vulnerável a Cross-Site Scripting na interface do site. É necessária uma conta de usuário válida para explorar esta vulnerabilidade – seja um usuário de backend ou um usuário frontend com a possibilidade de modificar seu perfil de usuário.

Detalhes técnicos

Duas ocorrências permitem renderizar dados do usuário do frontend conectado no momento que não está validado e, assim, permitir ataques XSS por usuários front-end.

1. EXT: fe_login adiciona ### FEUSER_ {fieldname} ### para cada campo existente na tabela fe_users do banco de dados, que pode ser processada pelo TypoScript, mas é insegura por padrão.

2. config.USERNAME_substToken = <! – ### USERNAME ### -> define o nome de usuário dinamicamente, que é então inseguro.

Créditos

Thomas Löffler e Benni Mack (TYPO3 core team)

Referência(s)

TYPO3 9.5.2, 8.7.21 and 7.6.32 security releases published
https://typo3.org/article/typo3-952-8721-and-7632-security-releases-published/

TYPO3-CORE-SA-2018-008: Cross-Site Scripting in Frontend User Login
https://typo3.org/security/advisory/typo3-core-sa-2018-008/

[SECURITY] Prevent XSS with fe_users data in felogin/TSFE
https://github.com/TYPO3/TYPO3.CMS/commit/1c85fe70269e2ff8ecf0b6d5f16550c6cd0ddc78

[TYPO3-announce] Announcing TYPO3 v9.5.2, v8.7.21 and v7.6.32 security releases
http://lists.typo3.org/pipermail/typo3-announce/2018/000435.html


Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 17 de dezembro de 2018