PT-2022-16037 · Typo3 · Typo3
Oliver Hader
·
Publicado
2022-12-13
·
Atualizado
2024-03-06
·
CVE-2022-23504
CVSS v3.1
5.7
Média
| Vetor | AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:L/A:L |
Nome do software vulnerável e versões afetadas
Versões do TYPO3 anteriores à 9.5.38, 10.4.33, 11.5.20 e 12.1.1
Descrição
A vulnerabilidade está relacionada à falta de tratamento adequado das expressões de placeholder YAML enviadas pelos usuários no módulo de backend de configuração do site. Isso permite que invasores exponham informações internas confidenciais, como a configuração do sistema ou mensagens de solicitação HTTP de outros visitantes do site. É necessária uma conta de usuário válida no backend com privilégios de administrador para explorar essa vulnerabilidade.
Recomendações
Atualize para as versões 9.5.38 ELTS, 10.4.33, 11.5.20 ou 12.1.1 do TYPO3 para corrigir o problema.
Como solução temporária, considere restringir o acesso ao módulo de backend de configuração do site para usuários com privilégios de administrador até que um patch seja aplicado.
Evite usar o recurso de expressões de placeholder YAML no módulo de backend de configuração do site até que a vulnerabilidade seja resolvida.
Exploit
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Typo3