ГлавнаяБаза уязвимостей БДУ → BDU:2023-00925
8высокая

BDU:2023-00925 (CVE-2023-24814)

Уязвимость функции GeneralUtility::getIndpEnv() системы управления контентом TYPO3, позволяющая нарушителю осуществлять межсайтовые сценарные атаки
Опубликовано: 2023-03-01
Описание

Уязвимость функции GeneralUtility::getIndpEnv() системы управления контентом TYPO3 связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществлять межсайтовые сценарные атаки с помощью специально созданной HTML-страницы

Затрагиваемое ПО и версии
TYPO3 (от 8.7.0 до 9.7.51)TYPO3 (от 9.0.0 до 9.5.40)TYPO3 (от 10.0.0 до 10.4.36)TYPO3 (от 11.0.0 до 11.5.23)TYPO3 (от 12.0.0 до 12.2.0)
Способ устранения

Использование рекомендаций производителя:
https://typo3.org/security/advisory/typo3-core-sa-2021-009

Оценка CVSS
Балл8 — высокая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2023-24814https://docs.typo3.org/m/typo3/reference-typoscript/main/en-us/Setup/Config/Index.html#absrefprefixhttps://github.com/TYPO3/typo3/blob/v11.5.22/typo3/sysext/core/Classes/Utility/GeneralUtility.php#L2481-L2484https://github.com/TYPO3/typo3/blob/v11.5.22/typo3/sysext/frontend/Classes/Controller/TypoScriptFrontendController.php#L2547-L2549https://github.com/TYPO3/typo3/commit/0005a6fd86ab97eff8bf2e3a5828bf0e7cb6263ahttps://github.com/TYPO3/typo3/security/advisories/GHSA-r4f8-f93x-5qh3https://typo3.org/security/advisory/typo3-core-sa-2023-001https://typo3.org/security/advisory/typo3-psa-2023-001
Проверьте безопасность своего сайта и почты → Полная проверка домена