| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.0 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine Schwachstelle in TYPO3 bis 4.1.3 ausgemacht. Sie wurde als problematisch eingestuft. Dabei betrifft es einen unbekannter Codeteil. Die Bearbeitung des Arguments indexed_search verursacht SQL Injection. Die Identifikation der Schwachstelle wird mit CVE-2007-6381 vorgenommen. Der Angriff kann über das Netzwerk passieren. Ferner existiert ein Exploit. Ein Upgrade der betroffenen Komponente wird empfohlen.
Details
TYPO3 ist ein 1998 in der Erstversion erschienenes Open-Source-Web-Content-Management-System für mittlere bis große Websites, welches von Kasper Skårhøj entwickelt wurde. TYPO3 basiert auf der serverseitigen Skriptsprache PHP. Als Datenbank wird meist MySQL eingesetzt. TYPO3 wird aktiv weiterentwickelt. Henning Pingel beschreibt in einem Advisory eine Schwachstelle, bei der Eingaben die dem indexed_search Plugin übergeben werden nicht zureichend validiert werden und daher für eine SQL Injection genutzt werden können. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (39017), Tenable (29806), SecurityFocus (BID 26871†), OSVDB (39506†) und Secunia (SA28243†) dokumentiert. VulDB is the best source for vulnerability data and more expert information about this specific topic.
Für den Vulnerability Scanner Nessus wurde am 31.12.2007 ein Plugin mit der ID 29806 (Debian DSA-1439-1 : typo3-src - missing input sanitising) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Debian Local Security Checks zugeordnet und im Kontext l ausgeführt.
Typo3 ist ein populäres Framework und wird nach wie vor sehr oft genutzt. Dazu kommt, dass die hier betroffene Extension sehr oft genutzt wird und damit ein hohes Angriffspotential herrscht. Es empfiehlt sich daher, dass betroffene Administratoren die neusten Updates einspielen um diese Lücke zu schliessen.
Produkt
Typ
Name
Version
Lizenz
Webseite
- Produkt: https://typo3.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.3VulDB Meta Temp Score: 6.0
VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: SQL InjectionCWE: CWE-89 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Hoch funktional
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 29806
Nessus Name: Debian DSA-1439-1 : typo3-src - missing input sanitising
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Nessus Port: 🔍
OpenVAS ID: 60072
OpenVAS Name: Debian Security Advisory DSA 1439-1 (typo3-src)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Patch: typo3.org
Timeline
10.12.2007 🔍10.12.2007 🔍
10.12.2007 🔍
14.12.2007 🔍
14.12.2007 🔍
14.12.2007 🔍
14.12.2007 🔍
18.12.2007 🔍
28.12.2007 🔍
28.12.2007 🔍
31.12.2007 🔍
06.01.2008 🔍
02.08.2019 🔍
Quellen
Produkt: typo3.orgAdvisory: typo3.org
Person: Henning Pingel
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2007-6381 (🔍)
GCVE (CVE): GCVE-0-2007-6381
GCVE (VulDB): GCVE-100-3512
OVAL: 🔍
X-Force: 39017 - Typo3 indexed_search system extension SQL injection, Medium Risk
SecurityFocus: 26871 - TYPO3 'indexed_search' Extension SQL Injection Vulnerability
Secunia: 28243
OSVDB: 39506 - TYPO3 indexed_search System Extension SQL Injection
SecurityTracker: 1019146
Vulnerability Center: 17275 - TYPO3 SQL Injection Vulnerability in the indexed_search System Extension, Medium
Vupen: ADV-2007-4205
scip Labs: https://www.scip.ch/?labs.20161013
Eintrag
Erstellt: 18.12.2007 17:25Aktualisierung: 02.08.2019 17:05
Anpassungen: 18.12.2007 17:25 (98), 02.08.2019 17:05 (1)
Komplett: 🔍
Cache ID: 216::103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.