PT-2021-22253 · Typo3 · Deferred Image Processing
Publicado
2021-08-13
·
Atualizado
2021-08-30
·
CVE-2021-38623
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões da extensão deferred image processing anteriores à 1.0.2 para TYPO3
Descrição
A vulnerabilidade permite um ataque de Negação de Serviço (DoS) via API FAL devido ao consumo de espaço em disco no diretório /var/transient. Isso ocorre devido ao uso incorreto da API FAL do TYPO3, o que resulta no salvamento de cópias de arquivos processados na pasta /var/transient/ a cada solicitação do front-end. Isso pode levar ao esgotamento do espaço web com arquivos de imagem, mediante a geração de uma grande quantidade de solicitações ao site.
Recomendações
Para versões da extensão deferred image processing anteriores à 1.0.2, atualize para a versão 1.0.2 ou posterior para resolver o problema.
Como solução temporária, considere restringir o acesso ao diretório /var/transient ou implementar medidas para limitar o consumo de espaço em disco nesse diretório até que a atualização seja aplicada.
Correção
Improper Resource Release
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Deferred Image Processing