For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00414
Identificador(es)
ASA-2019-00414, CVE-2019-12748, TYPO3-CORE-SA-2019-015
Título
Cross-Site Scripting no tratamento de links
Fabricante(s)
TYPO3 Association
Produto(s)
TYPO3 CMS
Versão(ões) afetada(s)
TYPO3 CMS versões 8.3.0 até 8.7.26
TYPO3 CMS versões 9.0.0 até 9.5.7
Versão(ões) corrigida(s)
TYPO3 CMS versão 8.7.27
TYPO3 CMS versão 9.5.8
Prova de conceito
Desconhecido
Descrição
Descobriu-se que o tratamento de URL t3:// é vulnerável a Cross-Site Scripting (XSS) ao fazer uso do esquema javascript: ou data: em campos de link como o seguinte.
t3://url/?url=javascript:alert(1);
Não apenas os formulários de backend regulares são afetados, mas também extensões front-end que usam a renderização com typolink.
Detalhes técnicos
Desconhecido
Créditos
Robin Peraglie (RIPS technologies)
Referência(s)
TYPO3 9.5.8 and 8.7.27 security releases published
https://typo3.org/article/typo3-958-and-8727-security-releases-published/
TYPO3-CORE-SA-2019-015: Cross-Site Scripting in Link Handling
https://typo3.org/security/advisory/typo3-core-sa-2019-015/
[TYPO3-announce] Announcing TYPO3 v9.5.8 and v8.7.27 security releases
http://lists.typo3.org/pipermail/typo3-announce/2019/000447.html
CVE-2019-12748
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12748
CVE-2019-12748
https://nvd.nist.gov/vuln/detail/CVE-2019-12748
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 14 setembro 2019