TYPO3 fino a 6.2.14/7.3.0 Backend sanitizeLocalUrl Non-Persistant cross site scripting
| CVSS Punteggio meta temporaneo | Prezzo attuale dell'exploit (≈) | Punteggio di interesse CTI |
|---|---|---|
| 3.4 | $0-$5k | 0.00 |
Riassunto
È stata individuata una vulnerabilità classificata come problematico in TYPO3 fino a 6.2.14/7.3.0. Da questa vulnerabilità è interessato la funzione sanitizeLocalUrl del componente Backend Module. Attraverso l'influenza di un input sconosciuto per mezzo di una vulerabilità di classe cross site scripting.
Questo punto di criticità è identificato come CVE-2015-5956. Dalla rete può partire l'attacco. Nessun exploit disponibile.
Si raccomanda di procedere con l’aggiornamento del componente interessato.
Dettagli
È stata rilevata una vulnerabilità di livello problematico in TYPO3 fino a 6.2.14/7.3.0 (Content Management System). É interessato la funzione sanitizeLocalUrl del componente Backend Module. Mediante la manipolazione di un input sconosciuto per mezzo di una vulerabilità di classe cross site scripting. Gli effetti sono noti per la integrità.
La vulnerabilità è stata pubblicata in data 08/09/2015 da Julien Ahrens con identificazione TYPO3-CORE-SA-2015-009 con un avis (Website) (confermato). L'advisory è scaricabile da typo3.org. Questo punto di criticità è identificato come CVE-2015-5956. L'attacco può essere lanciato da remoto. Per l'uso basta una semplice autentificazione. Nessun metodo di utilizzo sui dettagli tecnici disponibili.
L'aggiornamento alla versione 6.2.15 o 7.4.0 elimina questa vulnerabilità. Una possibile soluzione è stata pubblicata immediatamente dopo la pubblicazione della vulnerabilità.
La vulnerabilità è documentata anche nei database SecurityTracker (ID 1033551†). Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Prodotto
Genere
Nome
Versione
Licenza
Sito web
- Prodotto: https://typo3.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vettore: 🔍VulDB Affidabilità: 🔍
CVSSv3
VulDB Punteggio meta-base: 3.5VulDB Punteggio meta temporaneo: 3.4
VulDB Punteggio di base: 3.5
VulDB Punteggio temporaneo: 3.4
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vettore | Complessità | Autenticazione | Riservatezza | Integrità | Disponibilità |
|---|---|---|---|---|---|
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
VulDB Punteggio di base: 🔍
VulDB Punteggio temporaneo: 🔍
VulDB Affidabilità: 🔍
NVD Punteggio di base: 🔍
Sfruttamento
Nome: Non-PersistantClasse: Cross site scripting / Non-Persistant
CWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍
Fisico: No
Locale: No
Remoto: Si
Disponibilità: 🔍
Stato: Non definito
EPSS Score: 🔍
EPSS Percentile: 🔍
Previsione dei prezzi: 🔍
Preventivo attuale: 🔍
| 0-Day | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
|---|---|---|---|---|
| Oggi | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
OpenVAS ID: 100641
OpenVAS Nome: TYPO3 sanitizeLocalUrl function Cross-Site Scripting Vulnerability (SA-2015-009)
OpenVAS File: 🔍
OpenVAS Famiglia: 🔍
Intelligence sulle minacce
Interesse: 🔍Attori attivi: 🔍
Gruppi APT attivi: 🔍
Contromisure
Raccomandazione: AggiornamentoStato: 🔍
Tempo di reazione: 🔍
Tempo 0 giorni: 🔍
Tempo di esposizione: 🔍
Aggiornamento: TYPO3 6.2.15/7.4.0
Sequenza temporale
06/08/2015 🔍08/09/2015 🔍
08/09/2015 🔍
14/09/2015 🔍
16/09/2015 🔍
16/09/2015 🔍
15/06/2022 🔍
Fonti
Prodotto: typo3.orgAvis: TYPO3-CORE-SA-2015-009
Ricercatore: Julien Ahrens
Stato: Confermato
CVE: CVE-2015-5956 (🔍)
GCVE (CVE): GCVE-0-2015-5956
GCVE (VulDB): GCVE-100-77707
SecurityTracker: 1033551
Voce
Data di creazione: 16/09/2015 11:22Aggiornato: 15/06/2022 13:39
Cambiamenti: 16/09/2015 11:22 (51), 19/12/2017 08:19 (10), 15/06/2022 13:39 (3)
Completa: 🔍
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Ancora nessun commento. Lingue: it + ro + en.
Effettua il login per commentare.