ASA-2019-00585 – Extensão TYPO3 Direct Mail (direct_mail): Divulgação de informação


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00585

Identificador(es)

ASA-2019-00585, CVE-2019-16698, EXT-SA-2019-016

Título

Divulgação de informação

Fabricante(s)

d.k.d Internet Service GmbH

Produto(s)

Extensão TYPO3 Direct Mail (direct_mail)

Versão(ões) afetada(s)

Extensão TYPO3 Direct Mail (direct_mail) versões anteriores 5.2.3

Versão(ões) corrigida(s)

Extensão TYPO3 Direct Mail (direct_mail) versão 5.2.3

Prova de conceito

Desconhecido

Descrição

Ausência de verificação de acesso no módulo backend da extensão permite que um usuário de backend sem acesso a tabelas configuradas (por exemplo, fe_users, tt_address) visualize e exporte dados de usuários inscritos em uma newsletter.

Detalhes técnicos

Desconhecido

Créditos

Markus Klein

Referência(s)

Information Disclosure in extension “Direct Mail” (direct_mail)
https://typo3.org/security/advisory/typo3-ext-sa-2019-016/

Direct Mail (direct_mail)
https://extensions.typo3.org/extension/direct_mail/

[TYPO3-announce] [Ticket#201910155760000011] Vulnerabilities in multiple third party TYPO3 CMS extensions
http://lists.typo3.org/pipermail/typo3-announce/2019/000452.html

it’s an newsletter sending extension for the TYPO3 CMS
https://github.com/kartolo/direct_mail/

Security fix release
https://github.com/kartolo/direct_mail/commit/3a70924777294c7fb40e9f6eb3f7627bac58dfd1

CVE-2019-16698
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-16698

CVE-2019-16698
https://nvd.nist.gov/vuln/detail/CVE-2019-16698

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 23 outubro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.