ASA-2019-00019 – TYPO3: Configuração incorreta de segurança para contas de usuários de back-end


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00019

Identificador(es)

ASA-2019-00019, TYPO3-CORE-SA-2019-002

Título

Configuração incorreta de segurança para contas de usuários de back-end

Fabricante(s)

TYPO3

Produto(s)

TYPO3 CMS

Versão(ões) afetada(s)

TYPO3 CMS 8.0.0 – 8.7.22

TYPO3 CMS 9.0.0 – 9.5.3

Versão(ões) corrigida(s)

TYPO3 CMS 8.7.23

TYPO3 CMS 9.5.4

Prova de conceito

Desconhecida

Descrição

Ao usar o backend do TYPO3 para criar novas contas de usuário de back-end, os registros do banco de dados que contêm credenciais inseguras ou vazias podem persistir. Quando o tipo de conta de usuário é alterado – o que pode ser o tipo de entidade ou o sinalizador de administração para usuários de back-end – o formulário de back-end é recarregado para refletir as possibilidades de configuração alteradas. No entanto, isso também leva à persistência do estado atual, o que pode resultar em alguns dos seguintes itens:

  • conta contém credenciais de login vazias (nome de usuário e/ou senha)
  • conta está incompleta e contém credenciais fracas (nome de usuário e/ou senha)

Embora a funcionalidade fornecida pelo núcleo TYPO3 não possa ser usada com nomes de usuário vazios ou senhas vazias, ela ainda pode ser uma vulnerabilidade severa a implementações de serviço de autenticação personalizadas.

Detalhes técnicos

Desconhecido

Créditos

Oliver Eglseder e Benni Mack (TYPO3 core team)

Referência(s)

TYPO3-CORE-SA-2019-002: Security Misconfiguration for Backend User Accounts
https://typo3.org/security/advisory/typo3-core-sa-2019-002/

TYPO3 9.5.4 and 8.7.23 security releases published
https://typo3.org/article/typo3-954-and-8723-security-releases-published/

[TYPO3-announce] Announcing TYPO3 v9.5.4 and v8.7.23 security releases
http://lists.typo3.org/pipermail/typo3-announce/2019/000437.html

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 22 janeiro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.