CVSS Meta Temp Score	Aktueller Exploitpreis (≈)	CTI Interest Score
7.9	$0-$5k	0.00

In TYPO3 bis 8.7.29/9.5.11/10.2.1 (Content Management System) wurde eine Schwachstelle ausgemacht. Sie wurde als kritisch eingestuft. Dabei geht es um die Funktion QueryGenerator/QueryView der Komponente Deserialization. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-269. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:

An issue was discovered in TYPO3 before 8.7.30, 9.x before 9.5.12, and 10.x before 10.2.2. It has been discovered that the classes QueryGenerator and QueryView are vulnerable to insecure deserialization. One exploitable scenario requires having the system extension ext:lowlevel (Backend Module: DB Check) installed, with a valid backend user who has administrator privileges. The other exploitable scenario requires having the system extension ext:sys_action installed, with a valid backend user who has limited privileges.

Die Schwachstelle wurde am 17.12.2019 an die Öffentlichkeit getragen. Eine eindeutige Identifikation der Schwachstelle wird seit dem 17.12.2019 mit CVE-2019-19849 vorgenommen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Zur Ausnutzung ist eine einfache Authentisierung erforderlich. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1068.

Ein Upgrade auf die Version 8.7.30, 9.5.12 oder 10.2.2 vermag dieses Problem zu beheben.

Die Schwachstellen 147329 und 147327 sind ähnlich.

Produktinfo

Typ

• Content Management System

Name

• TYPO3

Version

• 8.7.0
• 8.7.1
• 8.7.2
• 8.7.3
• 8.7.4
• 8.7.5
• 8.7.6
• 8.7.7
• 8.7.8
• 8.7.9
• 8.7.10
• 8.7.11
• 8.7.12
• 8.7.13
• 8.7.14
• 8.7.15
• 8.7.16
• 8.7.17
• 8.7.18
• 8.7.19
• 8.7.20
• 8.7.21
• 8.7.22
• 8.7.23
• 8.7.24
• 8.7.25
• 8.7.26
• 8.7.27
• 8.7.28
• 8.7.29
• 9.5.0
• 9.5.1
• 9.5.2
• 9.5.3
• 9.5.4
• 9.5.5
• 9.5.6
• 9.5.7
• 9.5.8
• 9.5.9
• 9.5.10
• 9.5.11
• 10.2.0
• 10.2.1

Lizenz

• open-source

CPE 2.3info

• 🔍
• 🔍
• 🔍

CPE 2.2info

• 🔍
• 🔍
• 🔍

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 8.0
VulDB Meta Temp Score: 7.9

VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 8.8
NVD Vector: 🔍

CNA Base Score: 8.8
CNA Vector (MITRE): 🔍

CVSSv2info

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vektor	Komplexität	Authentisierung	Vertraulichkeit	Integrität	Verfügbarkeit
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Erweiterte Rechte
CWE: CWE-269 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Day	freischalten	freischalten	freischalten	freischalten
Heute	freischalten	freischalten	freischalten	freischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔍

Upgrade: TYPO3 8.7.30/9.5.12/10.2.2

Timelineinfo

17.12.2019 🔍
17.12.2019 +0 Tage 🔍
18.12.2019 +1 Tage 🔍
12.03.2024 +1546 Tage 🔍

Quelleninfo

Produkt: typo3.org

Advisory: review.typo3.org
Status: Nicht definiert

CVE: CVE-2019-19849 (🔍)
Siehe auch: 🔍

Eintraginfo

Erstellt: 18.12.2019 08:17
Aktualisierung: 12.03.2024 17:15
Anpassungen: 18.12.2019 08:17 (38), 18.12.2019 08:22 (12), 12.03.2024 17:07 (3), 12.03.2024 17:15 (19)
Komplett: 🔍

Diskussion

Do you know our Splunk app?

Download it now for free!