Benjamin Stiber

**Nome do software vulnerável e versões afetadas** Versões do TYPO3 anteriores à 7.6.53 ELTS Versões do TYPO3 anteriores à 8.7.42 ELTS Versões do TYPO3 anteriores à 9.5.29 Versões do TYPO3 anteriores à 10.4.19 Versões do TYPO3 anteriores à 11.3.2 **Descrição** O processo de renderização de conteúdo no front-end do site está vulnerável a cross-site scripting devido à falha em analisar, sanitizar e codificar adequadamente conteúdo de rich text malicioso. As instruções de renderização correspondentes via funcionalidade HTMLparser do TypoScript não consideram, por padrão, todas as combinações de tags e atributos HTML potencialmente maliciosas. Em cenários padrão, é necessária uma conta de usuário válida no back-end para explorar essa vulnerabilidade. No entanto, se plug-ins personalizados usados no front-end do site aceitarem e refletirem conteúdo de rich text enviado pelos usuários, nenhuma autenticação será necessária. **Recomendações** Atualize para a versão 7.6.53 ELTS do TYPO3 para corrigir o problema descrito. Atualize para a versão 8.7.42 ELTS do TYPO3 para corrigir o problema descrito. Atualize para a versão 9.5.29 do TYPO3 para corrigir o problema descrito. Atualize para a versão 10.4.19 do TYPO3 para corrigir o problema descrito. Atualize para a versão 11.3.2 do TYPO3 para corrigir o problema descrito. Como solução alternativa temporária, considere restringir o acesso a plug-ins personalizados que aceitem e reflitam conteúdo de rich text enviado por usuários até que um patch esteja disponível. Restrinja o uso do caminho `lib.parseFunc` do TypoScript e da instrução `f:format.html` do Fluid view-helper para minimizar o risco de exploração.