ASA-2018-00082 – TYPO3: Security Misconfiguration em cookie na Ferramenta de Instalação


For the English version of this alert, click here.

Allele Security Alert

ASA-2018-00082

Identificador(es)

ASA-2018-00082, TYPO3-CORE-SA-2018-009

Título

Security Misconfiguration em cookie na Ferramenta de Instalação

Fabricante(s)

TYPO3 Association

Produto(s)

TYPO3

Versão(ões) afetada(s)

TYPO3 7.0.0-7.6.31, 8.0.0-8.7.20 e 9.0.0-9.5.1

Versão(ões) corrigida(s)

TYPO3 versões 7.6.32, 8.7.21 ou 9.5.2

Prova de conceito

Desconhecido

Descrição

Descobriu-se que os cookies criados na ferramenta de instalação não são protegidos para serem enviados somente via HTTP. Em combinação com outras vulnerabilidades, como o Cross-Site Scripting, pode levar ao sequestro de uma sessão ativa e válida na Ferramenta de Instalação.

Detalhes técnicos

Desconhecido

Créditos

Oliver Hader (TYPO3 core team) e Andreas Wolf (TYPO3 core team)

Referência(s)

TYPO3 9.5.2, 8.7.21 and 7.6.32 security releases published
https://typo3.org/article/typo3-952-8721-and-7632-security-releases-published/

TYPO3-CORE-SA-2018-009: Security Misconfiguration in Install Tool Cookie
https://typo3.org/security/advisory/typo3-core-sa-2018-009/

[SECURITY] Make InstallTool session cookie HTTP-only
https://github.com/TYPO3/TYPO3.CMS/commit/13328b0f74ac589a20b021db814dfa672581c26a

[TYPO3-announce] Announcing TYPO3 v9.5.2, v8.7.21 and v7.6.32 security releases
http://lists.typo3.org/pipermail/typo3-announce/2018/000435.html

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 1 fevereiro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.