PT-2022-27229 · Typo3 · Femanager
André Buchmann
·
Publicado
2022-11-03
·
Atualizado
2023-12-14
·
CVE-2022-44543
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões da extensão femanager anteriores à 5.5.2
Versões da extensão femanager 6.x anteriores à 6.3.3
Versões da extensão femanager 7.x anteriores à 7.0.1
Descrição
A vulnerabilidade permite a criação de usuários front-end em grupos restritos caso exista um campo
usergroup no formulário de registro. Isso ocorre devido a um tratamento incorreto do mecanismo de proteção usergroup.inList, permitindo que a validação seja contornada. Novos usuários front-end criados pela extensão podem ser membros de grupos restritos. A vulnerabilidade só pode ser explorada se o campo usergroup estiver disponível no formulário de registro.Recomendações
Para versões da extensão femanager anteriores à 5.5.2, atualize para a versão 5.5.2 ou posterior.
Para versões da extensão femanager 6.x anteriores à 6.3.3, atualize para a versão 6.3.3 ou posterior.
Para versões da extensão femanager 7.x anteriores à 7.0.1, atualize para a versão 7.0.1 ou posterior.
Como solução temporária, considere remover o campo
usergroup do formulário de registro até que um patch seja aplicado.Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Femanager