ASA-2019-00583 – Extensão TYPO3 SLUB: Event Registration (slub_events): Múltiplas vulnerabilidades


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00583

Identificador(es)

ASA-2019-00583, CVE-2019-16700, EXT-SA-2019-017

Título

Event Registration (slub_events): Múltiplas vulnerabilidades

Fabricante(s)

Saxony State and University Library (SLUB) Dresden

Produto(s)

TYPO3 extension SLUB: Event Registration (slub_events)

Versão(ões) afetada(s)

Extensão TYPO3 SLUB: Event Registration (slub_events) versões anteriores a 3.0.3

Versão(ões) corrigida(s)

Extensão TYPO3 SLUB: Event Registration (slub_events) versão 3.0.3

Prova de conceito

Desconhecido

Descrição

A extensão permite fazer upload de arquivos arbitrários para o webserver. Para as versões 1.2.2 e anteriores, esta vulnerabilidade resulta em execução remota de código. Nas versões posteriores à 1.2.2, a vulnerabilidade pode resultar em negação de serviço, pois o servidor pode ser preenchido com arquivos arbitrários. A extensão também inclui o jQuery 2.2.4, que é conhecido por ser vulnerável a Cross Site Scripting.

Detalhes técnicos

Desconhecido

Créditos

Torben Hansen

Referência(s)

Multiple vulnerabilities in extension “SLUB: Event Registration” (slub_events)
https://typo3.org/security/advisory/typo3-ext-sa-2019-017/

[TYPO3-announce] [Ticket#201910155760000011] Vulnerabilities in multiple third party TYPO3 CMS extensions
http://lists.typo3.org/pipermail/typo3-announce/2019/000452.html

SLUB: Event Registration
https://extensions.typo3.org/extension/slub_events/

EXT:slub_events
https://github.com/slub/slub_events

CVE-2019-16700
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-16700

CVE-2019-16700
https://nvd.nist.gov/vuln/detail/CVE-2019-16700

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 23 outubro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.