fabarea media_upload 先于0.9.0 于 TYPO3 UploadFileService.php getUploadedFileList 目录遍历
在fabarea media_upload 中已发现分类为致命的漏洞。 此漏洞会影响功能 getUploadedFileList
文件Classes/Service/UploadFileService.php。 手动调试的不合法输入可导致 目录遍历。 使用CWE来声明会导致 CWE-21 的问题。 此漏洞的脆弱性 2023-01-10公示人身份b25d42a4981072321c1a363311d8ea2a4ac8763a、所发布。 索取公告的网址是github.com。
该漏洞被命名为CVE-2016-15017, 攻击需要进入局域网。 有技术细节可用。 没有可利用漏洞。 目前漏洞的结构决定了可能的价格范围为美元价USD $0-$5k。 该漏洞由MITRE ATT&CK项目分配为T1006。
它被宣布为未定义。 估计零日攻击的地下价格约为$0-$5k。
升级到版本0.9.0能够解决此问题。 更新版本下载地址为 github.com。 补丁名称为b25d42a4981072321c1a363311d8ea2a4ac8763a。 错误修复程序下载地址为github.com, 建议对受到影响的组件升级。 该漏洞被披露后,远在此前发表过可能的缓解措施。