PT-2022-28058 · Typo3 · Fp Newsletter
Martin Waleczek
·
Publicado
2022-12-14
·
Atualizado
2025-04-21
·
CVE-2022-47408
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Extensão fp newsletter, versões 1.0 a 1.1.0
Extensão fp newsletter, versão 1.2.0
Extensão fp newsletter, versões 2.0 a 2.1.1
Extensão fp newsletter, versões 2.2.1 a 2.4.0
Versões da extensão fp newsletter de 3.0 a 3.2.5
Descrição
O problema diz respeito a uma falha no CAPTCHA da extensão fp newsletter para TYPO3, que pode levar à inscrição de muitas pessoas. Essa falha pode resultar na criação automatizada de vários assinantes da newsletter. Além disso, é possível fornecer UIDs de assinatura arbitrários à função
deleteAction da extensão, resultando no cancelamento da assinatura de todos os assinantes da newsletter. Verificações de acesso insuficientes nas funções createAction e unsubscribeAction podem ser usadas para obter dados de assinantes existentes da newsletter.Recomendações
Para as versões 1.0 a 1.1.0 da extensão fp newsletter, atualize para a versão 1.1.1 ou posterior.
Para a extensão fp newsletter versão 1.2.0, atualize para a versão 2.1.2 ou posterior.
Para as versões 2.0 a 2.1.1 da extensão fp newsletter, atualize para a versão 2.1.2 ou posterior.
Para as versões 2.2.1 a 2.4.0 da extensão fp newsletter, atualize para a versão 3.2.6 ou posterior.
Para as versões 3.0 a 3.2.5 da extensão fp newsletter, atualize para a versão 3.2.6 ou posterior.
Como solução alternativa temporária, considere restringir o acesso às funções
createAction e unsubscribeAction até que um patch esteja disponível.Evite usar a função
deleteAction com UIDs de assinatura arbitrários até que oExploit
Correção
Incorrect Authorization
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Fp Newsletter