TYPO3跨站脚本漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1173237 漏洞类型 跨站脚本
发布时间 2012-04-17 更新时间 2012-04-20
CVE编号 CVE-2012-2112 CNNVD-ID CNNVD-201204-387
漏洞平台 N/A CVSS评分 4.3
|漏洞来源
https://www.securityfocus.com/bid/53047
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201204-387
|漏洞详情
Typo3是基于PHP和MySQL数据库的开源内容管理系统(CMS)和内容管理框架(CMF)的领导性品牌之一,是强大的开源解决方案。TYPO3中存在跨站脚本漏洞,该漏洞源于对用户提供的输入未经过滤。攻击者可利用该漏洞在受影响站点上下文的不知情用户浏览器上执行任意脚本代码,可能允许攻击者盗取基于cookie的认证证书进而发起其他攻击。以下版本中存在该漏洞:TYPO34.4.0至4.4.14版本,TYPO34.5.0至4.5.14版本,TYPO34.6.0至4.6.7版本,TYPO34.7分支版本。
|受影响的产品
Typo3 Typo3 4.6.6 Typo3 Typo3 4.6.1 Typo3 Typo3 4.6 Typo3 Typo3 4.5.13 Typo3 Typo3 4.5.8 Typo3 Typo3 4.5.7 Typo3 Typo3 4.5.5 Typo3 Typo3
|参考资料

来源:XF
名称:exceptionhandler-exceptionmessages-xss(74920)
链接:http://xforce.iss.net/xforce/xfdb/74920
来源:BID
名称:53047
链接:http://www.securityfocus.com/bid/53047
来源:MLIST
名称:[oss-security]20120417Re:CVE-request:TYPO3-CORE-SA-2012-002XSSinTYPO3Core
链接:http://www.openwall.com/lists/oss-security/2012/04/18/1
来源:MLIST
名称:[oss-security]20120417CVE-request:TYPO3-CORE-SA-2012-002XSSinTYPO3Core
链接:http://www.openwall.com/lists/oss-security/2012/04/17/5
来源:DEBIAN
名称:DSA-2455
链接:http://www.debian.org/security/2012/dsa-2455
来源:typo3.org
链接:http://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2012-002/
来源:MLIST
名称:[TYPO3-announce]20120417AnnouncingTYPO34.4.15,4.5.15and4.6.8
链接:http://lists.typo3.org/pipermail/typo3-announce/2012/000242.html
来源:MLIST
名称:[TYPO3-announce]20120417Cross-SiteScriptingVulnerabilityinTYPO3Core
链接:http://lists.typo3.org/pipermail/typo3-announce/2012/000241.html