PT-2022-28059 · Typo3 · Fp Newsletter
Oliver Hader
·
Publicado
2022-12-14
·
Atualizado
2025-04-21
·
CVE-2022-47409
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões da extensão fp newsletter anteriores à 1.1.1
Versão 1.2.0 da extensão fp newsletter
Versões 2.x da extensão fp newsletter anteriores à 2.1.2
Versões 2.2.1 a 2.4.0 da extensão fp newsletter
Versões 3.x da extensão fp newsletter anteriores à 3.2.6
Descrição
Foi descoberta uma vulnerabilidade na extensão fp newsletter para TYPO3, na qual invasores podem cancelar a inscrição de todos os usuários por meio de uma série de UIDs de assinatura modificados em operações
deleteAction.Recomendações
Para versões da extensão fp newsletter anteriores à 1.1.1, atualize para a versão 1.1.1 ou posterior.
Para a versão 1.2.0 da extensão fp newsletter, atualize para a versão 2.1.2 ou posterior.
Para versões da extensão fp newsletter 2.x anteriores à 2.1.2, atualize para a versão 2.1.2 ou posterior.
Para as versões da extensão fp newsletter de 2.2.1 a 2.4.0, atualize para a versão 3.2.6 ou posterior.
Para as versões da extensão fp newsletter 3.x anteriores à 3.2.6, atualize para a versão 3.2.6 ou posterior.
Como solução alternativa temporária, considere restringir o acesso à operação
deleteAction até que um patch esteja disponível.Correção
Improper Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Fp Newsletter