PT-2026-41866 · Typo3 · Date Menu Of News Articles
Christian Kuhn
+1
·
Publicado
2026-05-19
·
Atualizado
2026-05-19
·
CVE-2026-8726
CVSS v4.0
8.2
Alta
| Vetor | AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
News system (news) (versões afetadas não especificadas)
Descrição
A extensão não sanitiza adequadamente a entrada do usuário antes de utilizá-la em uma consulta ao banco de dados. Isso permite que um invasor não autenticado realize uma injeção de SQL (SQL injection), que é a inserção de código SQL malicioso em uma consulta, por meio de um parâmetro de URL em páginas que utilizam o plugin "Date Menu of news articles". Este problema é explorável quando o plugin "Date Menu of news articles" está ativo e a configuração TypoScript/Plugin
disableOverrideDemand não está habilitada.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.
Habilite a configuração TypoScript/Plugin
disableOverrideDemand para mitigar o risco de exploração.Exploit
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Date Menu Of News Articles