PT-2020-16346 · Typo3 · Typo3 Fluid

Jonas Eberle

+1

·

Publicado

2020-11-17

·

Atualizado

2020-12-02

·

CVE-2020-26216

CVSS v3.1

8.0

Alta

VetorAV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N
Nome do software vulnerável e versões afetadas
Versões do TYPO3 Fluid anteriores às 2.0.8, 2.1.7, 2.2.4, 2.3.7, 2.4.4, 2.5.11 e 2.6.10
Descrição
O problema diz respeito a vulnerabilidades de Cross-Site Scripting (XSS) no TYPO3 Fluid. Foram detectadas três vulnerabilidades de XSS:
  1. O TagBasedViewHelper permitia XSS por meio de matrizes additionalAttributes criadas de forma maliciosa, ao criar chaves com aspas de fechamento de atributos seguidas de HTML.
  2. O ViewHelpers, que utilizava a característica CompileWithContentArgumentAndRenderStatic e declarava escapeOutput = false, recebia o argumento de conteúdo em formato não escapado.
  3. As subclasses de AbstractConditionViewHelper recebiam os argumentos then e else em formato não escapado.
Recomendações
Atualize para as versões 2.0.8, 2.1.7, 2.2.4, 2.3.7, 2.4.4, 2.5.11 ou 2.6.10 do pacote typo3fluid/fluid para corrigir o problema descrito.
Para ViewHelpers personalizados que utilizam CompileWithContentArgumentAndRenderStatic, considere passar um sexto argumento com o valor false para a chamada de registerArgument a fim de desativar explicitamente a escapagem do valor do argumento, mas esteja ciente de que isso constitui um potencial problema de segurança.
Como solução temporária, considere usar f:format.raw para desativar intencionalmente o escape para variáveis que contenham HTML, mas observe que isso também constitui um potencial problema de segurança pelo qual o autor do modelo é o único responsável.

Exploit

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79

Identificadores relacionados

CVE-2020-26216
GHSA-HPJM-3WW5-6CPF

Produtos afetados

Typo3 Fluid