ASA-2019-00416 – TYPO3: Controle de Acesso Quebrado no Módulo de Importação


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00416

Identificador(es)

ASA-2019-00416, TYPO3-CORE-SA-2019-017

Título

Controle de Acesso Quebrado no Módulo de Importação

Fabricante(s)

TYPO3 Association

Produto(s)

TYPO3 CMS

Versão(ões) afetada(s)

TYPO3 CMS versões 9.3.0 até 9.5.7

Versão(ões) corrigida(s)

TYPO3 CMS versão 9.5.8

Prova de conceito

Desconhecido

Descrição

Foi descoberto que o módulo Importar/Exportar é suscetível a controle de acesso quebrado. Os usuários de back-end regulares têm acesso à funcionalidade de importação, que geralmente está disponível apenas para usuários administradores ou usuários com opções de configuração do usuário TSconfig.impexp.enableImportForNonAdminUser explicitamente ativados.

O conteúdo do banco de dados a ser importado, no entanto, foi verificado corretamente em relação às permissões dos usuários e não foi afetado. No entanto, foi possível fazer upload de arquivos ultrapassando as restrições da camada de abstração de arquivos (FAL) – no entanto, isso não afetou os arquivos executáveis que foram corretamente protegidos pelo fileDenyPattern.

Atualmente, a única vulnerabilidade conhecida é a injeção direta de arquivos *.form.yaml que podem ser usados para acionar a vulnerabilidade do TYPO3-CORE-SA-2018-003 (Escalação de privilégios e SQL Injection) – que requer o Form Framework (ext:form) estar disponível em um site de acordo.

Detalhes técnicos

Desconhecido

Créditos

Oliver Hader

Referência(s)

TYPO3 9.5.8 and 8.7.27 security releases published
https://typo3.org/article/typo3-958-and-8727-security-releases-published/

TYPO3-CORE-SA-2019-017: Broken Access Control in Import Module
https://typo3.org/security/advisory/typo3-core-sa-2019-017/

[TYPO3-announce] Announcing TYPO3 v9.5.8 and v8.7.27 security releases
http://lists.typo3.org/pipermail/typo3-announce/2019/000447.html

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 11 julho 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.