fabarea media_upload prima 0.9.0 su TYPO3 UploadFileService.php getUploadedFileList directory traversal
In fabarea media_upload stata rilevata una vulnerabilità di livello critico. Da questa vulnerabilità è interessato la funzione getUploadedFileList
del file Classes/Service/UploadFileService.php. Attraverso la manipolazione di un input sconosciuto per mezzo di una vulerabilità di classe directory traversal. L'advisory è scaricabile da github.com.
Questo punto di criticità è identificato come CVE-2016-15017. L'attuazione dell'attacco deve avvenire localmente. I dettagli tecnici sono conosciuti.
È stato dichiarato come non definito.
L'aggiornamento alla versione 0.9.0 elimina questa vulnerabilità. L'aggiornamento è scaricabile da github.com. Il bugfix è scaricabile da github.com. Il miglior modo suggerito per attenuare il problema è aggiornamento all'ultima versione. Una possibile soluzione è stata pubblicata prima e non solo dopo la pubblicazione della vulnerabilità.