Christian Kuhn

**Nome do Software Vulnerável e Versões Afetadas** News system (news) (versões afetadas não especificadas) **Descrição** A extensão não sanitiza adequadamente a entrada do usuário antes de utilizá-la em uma consulta ao banco de dados. Isso permite que um invasor não autenticado realize uma injeção de SQL (SQL injection), que é a inserção de código SQL malicioso em uma consulta, por meio de um parâmetro de URL em páginas que utilizam o plugin "Date Menu of news articles". Este problema é explorável quando o plugin "Date Menu of news articles" está ativo e a configuração TypoScript/Plugin `disableOverrideDemand` não está habilitada. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Habilite a configuração TypoScript/Plugin `disableOverrideDemand` para mitigar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do TYPO3 anteriores à 8.7.57 ELTS Versões do TYPO3 anteriores à 9.5.46 ELTS Versões do TYPO3 anteriores à 10.4.43 ELTS Versões do TYPO3 anteriores à 11.5.35 LTS Versões do TYPO3 anteriores à 12.4.11 LTS Versões do TYPO3 anteriores à 13.0.1 **Descrição** O problema diz respeito a hashes de senha que são exibidos nos formulários de edição da interface de usuário do backend do TYPO3, permitindo que invasores decifrem a senha em texto simples usando técnicas de força bruta. A exploração desse problema requer uma conta de usuário válida no backend. **Recomendações** Atualize para a versão 8.7.57 ELTS do TYPO3 ou posterior Atualize para a versão 9.5.46 ELTS do TYPO3 ou posterior Atualize para a versão 10.4.43 ELTS do TYPO3 ou posterior Atualize para a versão 11.5.35 LTS do TYPO3 ou posterior Atualize para a versão 12.4.11 LTS do TYPO3 ou posterior Atualize para a versão 13.0.1 do TYPO3 ou posterior