PT-2020-15899 · Typo3 · Typo3 Sf Event Mgt Extension
Torben Hansen
·
Publicado
2020-09-02
·
Atualizado
2021-07-21
·
CVE-2020-25026
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões da extensão TYPO3 sf event mgt anteriores à 4.3.1
Versões da extensão TYPO3 sf event mgt 5.x anteriores à 5.1.1
Descrição
A vulnerabilidade permite a divulgação de informações devido a falha no controle de acesso, afetando dados de participantes e dados de eventos por e-mail. A ausência de uma verificação de acesso no módulo de backend permite que um usuário autenticado do backend exporte dados de participantes de eventos aos quais não tem acesso. Outra falha na verificação de acesso permite que um usuário autenticado do backend envie e-mails a participantes de eventos aos quais não tem acesso.
Recomendações
Para versões anteriores à 4.3.1, atualize para a versão 4.3.1 ou posterior.
Para versões 5.x anteriores à 5.1.1, atualize para a versão 5.1.1 ou posterior.
Como solução temporária, considere restringir o acesso ao módulo backend para minimizar o risco de exploração.
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Typo3 Sf Event Mgt Extension