CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
---|---|---|
4.4 | $0-$5k | 0.00 |
In TYPO3 (Content Management System) wurde eine kritische Schwachstelle ausgemacht. Das betrifft eine unbekannte Funktionalität der Komponente Backend. Mittels Manipulieren mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-79. Die Auswirkungen sind bekannt für Vertraulichkeit und Integrität. Die Zusammenfassung von CVE lautet:
Multiple cross-site scripting (XSS) vulnerabilities in the Backend component in TYPO3 4.4.0 through 4.4.13, 4.5.0 through 4.5.13, 4.6.0 through 4.6.6, 4.7, and 6.0 allow remote authenticated backend users to inject arbitrary web script or HTML via unspecified vectors.
Die Schwachstelle wurde am 28.03.2012 durch Georg Ringer und Oliver Klee (Website) öffentlich gemacht. Das Advisory findet sich auf typo3.org. Die Veröffentlichung passierte hierbei in Koordination mit dem Projektteam. Die Verwundbarkeit wird seit dem 12.03.2012 als CVE-2012-1606 geführt. Der Angriff kann über das Netzwerk angegangen werden. Das Ausnutzen erfordert eine einfache Authentisierung. Eine Ausnutzung erfordert, dass das Opfer eine spezifische Handlung durchführt. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden. Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1059.007 bezeichnet.
Für den Vulnerability Scanner Nessus wurde am 02.04.2012 ein Plugin mit der ID 58541 (Debian DSA-2445-1 : typo3-src - several vulnerabilities) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Debian Local Security Checks zugeordnet und im Kontext l ausgeführt.
Ein Aktualisieren auf die Version 4.4.14, 4.5.14, 4.6.7 vermag dieses Problem zu lösen. Eine neue Version kann von typo3.org bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Die Entwickler haben damit unmittelbar gehandelt.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (74546) und Tenable (58541) dokumentiert. Mit dieser Schwachstelle verwandte Einträge finden sich unter 5010, 5012 und 5013.
Produkt
Typ
Name
Version
- 4.4.0
- 4.4.1
- 4.4.2
- 4.4.3
- 4.4.4
- 4.4.5
- 4.4.6
- 4.4.7
- 4.4.8
- 4.4.9
- 4.4.10
- 4.4.11
- 4.4.12
- 4.4.13
- 4.5.0
- 4.5.1
- 4.5.2
- 4.5.3
- 4.5.4
- 4.5.5
- 4.5.6
- 4.5.7
- 4.5.8
- 4.5.9
- 4.5.10
- 4.5.11
- 4.5.12
- 4.5.13
- 4.6.0
- 4.6.1
- 4.6.2
- 4.6.3
- 4.6.4
- 4.6.5
- 4.6.6
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 4.6VulDB Meta Temp Score: 4.4
VulDB Base Score: 4.6
VulDB Temp Score: 4.4
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
AV | AC | Au | C | I | A |
---|---|---|---|---|---|
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
---|---|---|---|---|---|
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Cross Site ScriptingCWE: CWE-79 / CWE-74 / CWE-707
ATT&CK: T1059.007
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
0-Day | freischalten | freischalten | freischalten | freischalten |
---|---|---|---|---|
Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 58541
Nessus Name: Debian DSA-2445-1 : typo3-src - several vulnerabilities
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Nessus Port: 🔍
OpenVAS ID: 71247
OpenVAS Name: Debian Security Advisory DSA 2445-1 (typo3-src)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Upgrade: TYPO3 4.4.14, 4.5.14, 4.6.7
Timeline
12.03.2012 🔍28.03.2012 🔍
28.03.2012 🔍
28.03.2012 🔍
28.03.2012 🔍
29.03.2012 🔍
30.03.2012 🔍
02.04.2012 🔍
04.04.2012 🔍
04.09.2012 🔍
07.02.2013 🔍
22.03.2021 🔍
Quellen
Produkt: typo3.orgAdvisory: typo3.org
Person: Georg Ringer, Oliver Klee
Status: Nicht definiert
Bestätigung: 🔍
Koordiniert: 🔍
CVE: CVE-2012-1606 (🔍)
OVAL: 🔍
X-Force: 74546
Vulnerability Center: 38347 - TYPO3 Multiple XSS Vulnerabilities in The Backend Component, Medium
SecurityFocus: 52771
Secunia: 48622 - TYPO3 Multiple Vulnerabilities, Moderately Critical
OSVDB: 80760
Siehe auch: 🔍
Eintrag
Erstellt: 04.04.2012 09:56Aktualisierung: 22.03.2021 14:03
Anpassungen: 04.04.2012 09:56 (81), 24.04.2017 13:35 (2), 22.03.2021 13:56 (4), 22.03.2021 14:03 (1)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.