CVE-2021-32768

Versões do TYPO3 anteriores à 7.6.53 ELTS

Versões do TYPO3 anteriores à 8.7.42 ELTS

Versões do TYPO3 anteriores à 9.5.29

Versões do TYPO3 anteriores à 10.4.19

Versões do TYPO3 anteriores à 11.3.2

O processo de renderização de conteúdo no front-end do site está vulnerável a cross-site scripting devido à falha em analisar, sanitizar e codificar adequadamente conteúdo de rich text malicioso. As instruções de renderização correspondentes via funcionalidade HTMLparser do TypoScript não consideram, por padrão, todas as combinações de tags e atributos HTML potencialmente maliciosas. Em cenários padrão, é necessária uma conta de usuário válida no back-end para explorar essa vulnerabilidade. No entanto, se plug-ins personalizados usados no front-end do site aceitarem e refletirem conteúdo de rich text enviado pelos usuários, nenhuma autenticação será necessária.

Atualize para a versão 7.6.53 ELTS do TYPO3 para corrigir o problema descrito.

Atualize para a versão 8.7.42 ELTS do TYPO3 para corrigir o problema descrito.

Atualize para a versão 9.5.29 do TYPO3 para corrigir o problema descrito.

Atualize para a versão 10.4.19 do TYPO3 para corrigir o problema descrito.

Atualize para a versão 11.3.2 do TYPO3 para corrigir o problema descrito.

Como solução alternativa temporária, considere restringir o acesso a plug-ins personalizados que aceitem e reflitam conteúdo de rich text enviado por usuários até que um patch esteja disponível.

Restrinja o uso do caminho lib.parseFunc do TypoScript e da instrução f:format.html do Fluid view-helper para minimizar o risco de exploração.