PT-2022-17025 · Typo3 · Varnishcache Extension
Torben Hansen
·
Publicado
2022-02-19
·
Atualizado
2022-03-07
·
CVE-2022-24979
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões da extensão Varnishcache anteriores à 2.0.1 para TYPO3
Descrição
Uma falha no componente de renderização do elemento de conteúdo Edge Site Includes (ESI) da extensão Varnishcache para TYPO3 não inclui uma verificação de acesso. Isso permite que um usuário não autenticado renderize vários elementos de conteúdo, resultando em referência direta a objeto insegura (IDOR), com o potencial de expor elementos de conteúdo internos.
Recomendações
Para versões anteriores à 2.0.1, atualize para a versão 2.0.1 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao componente de renderização de elementos de conteúdo ESI para minimizar o risco de exploração.
Correção
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Varnishcache Extension