TYPO3跨站脚本漏洞

漏洞信息详情

TYPO3跨站脚本漏洞

• CNNVD编号：CNNVD-201204-387
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2012-2112
  
• 漏洞类型：
  
  
  跨站脚本
  
• 发布时间：
  
  2012-04-19
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2012-05-24
  
• 厂        商：
  
  typo3
• 漏洞来源：
  Helmut Hummel

Typo3是基于PHP和MySQL数据库的开源内容管理系统(CMS)和内容管理框架(CMF)的领导性品牌之一，是强大的开源解决方案。

TYPO3中存在跨站脚本漏洞，该漏洞源于对用户提供的输入未经过滤。攻击者可利用该漏洞在受影响站点上下文的不知情用户浏览器上执行任意脚本代码，可能允许攻击者盗取基于cookie的认证证书进而发起其他攻击。以下版本中存在该漏洞：TYPO3 4.4.0至4.4.14版本，TYPO3 4.5.0至4.5.14版本，TYPO3 4.6.0至4.6.7版本，TYPO3 4.7分支版本。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://typo3.org/download/

来源: XF

名称: exceptionhandler-exceptionmessages-xss(74920)

链接:http://xforce.iss.net/xforce/xfdb/74920

来源: BID

名称: 53047

链接:http://www.securityfocus.com/bid/53047

来源: MLIST

名称: [oss-security] 20120417 Re: CVE-request: TYPO3-CORE-SA-2012-002 XSS in TYPO3 Core

链接:http://www.openwall.com/lists/oss-security/2012/04/18/1

来源: MLIST

名称: [oss-security] 20120417 CVE-request: TYPO3-CORE-SA-2012-002 XSS in TYPO3 Core

链接:http://www.openwall.com/lists/oss-security/2012/04/17/5

来源: DEBIAN

名称: DSA-2455

链接:http://www.debian.org/security/2012/dsa-2455

来源: typo3.org

链接:http://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2012-002/

来源: MLIST

名称: [TYPO3-announce] 20120417 Announcing TYPO3 4.4.15, 4.5.15 and 4.6.8

链接:http://lists.typo3.org/pipermail/typo3-announce/2012/000242.html

来源: MLIST

名称: [TYPO3-announce] 20120417 Cross-Site Scripting Vulnerability in TYPO3 Core

链接:http://lists.typo3.org/pipermail/typo3-announce/2012/000241.html