ASA-2019-00019 – TYPO3: Configuração incorreta de segurança para contas de usuários de back-end


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00019

Identificador(es)

ASA-2019-00019, TYPO3-CORE-SA-2019-002

Título

Configuração incorreta de segurança para contas de usuários de back-end

Fabricante(s)

TYPO3

Produto(s)

TYPO3 CMS

Versão(ões) afetada(s)

TYPO3 CMS 8.0.0 – 8.7.22

TYPO3 CMS 9.0.0 – 9.5.3

Versão(ões) corrigida(s)

TYPO3 CMS 8.7.23

TYPO3 CMS 9.5.4

Prova de conceito

Desconhecida

Descrição

Ao usar o backend do TYPO3 para criar novas contas de usuário de back-end, os registros do banco de dados que contêm credenciais inseguras ou vazias podem persistir. Quando o tipo de conta de usuário é alterado – o que pode ser o tipo de entidade ou o sinalizador de administração para usuários de back-end – o formulário de back-end é recarregado para refletir as possibilidades de configuração alteradas. No entanto, isso também leva à persistência do estado atual, o que pode resultar em alguns dos seguintes itens:

  • conta contém credenciais de login vazias (nome de usuário e/ou senha)
  • conta está incompleta e contém credenciais fracas (nome de usuário e/ou senha)

Embora a funcionalidade fornecida pelo núcleo TYPO3 não possa ser usada com nomes de usuário vazios ou senhas vazias, ela ainda pode ser uma vulnerabilidade severa a implementações de serviço de autenticação personalizadas.

Detalhes técnicos

Desconhecido

Créditos

Oliver Eglseder e Benni Mack (TYPO3 core team)

Referência(s)

TYPO3-CORE-SA-2019-002: Security Misconfiguration for Backend User Accounts
https://typo3.org/security/advisory/typo3-core-sa-2019-002/

TYPO3 9.5.4 and 8.7.23 security releases published
https://typo3.org/article/typo3-954-and-8723-security-releases-published/

[TYPO3-announce] Announcing TYPO3 v9.5.4 and v8.7.23 security releases
http://lists.typo3.org/pipermail/typo3-announce/2019/000437.html

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 22 janeiro 2019