Vulnerabilidad en TYPO3 (CVE-2024-25119)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
13/02/2024
Última modificación:
16/10/2024
Descripción
TYPO3 es un sistema de gestión de contenido web basado en PHP de código abierto publicado bajo GNU GPL. El valor de texto plano de `$GLOBALS['SYS']['encryptionKey']` se mostró en los formularios de edición de la interfaz de usuario de la herramienta de instalación TYPO3. Esto permitió a los atacantes utilizar el valor para generar hashes criptográficos utilizados para verificar la autenticidad de los parámetros de solicitud HTTP. Para explotar esta vulnerabilidad se requiere una cuenta de usuario backend de nivel de administrador con permisos de fabricante del sistema. Se recomienda a los usuarios actualizar a las versiones 8.7.57 ELTS, 9.5.46 ELTS, 10.4.43 ELTS, 11.5.35 LTS, 12.4.11 LTS, 13.0.1 de TYPO3 que solucionan el problema descrito. No se conocen workarounds para esta vulnerabilidad.
Impacto
Puntuación base 3.x
4.90
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:typo3:typo3:*:*:*:*:*:*:*:* | 8.0.0 (incluyendo) | 8.7.57 (excluyendo) |
| cpe:2.3:a:typo3:typo3:*:*:*:*:*:*:*:* | 9.0.0 (incluyendo) | 9.5.46 (excluyendo) |
| cpe:2.3:a:typo3:typo3:*:*:*:*:*:*:*:* | 10.0.0 (incluyendo) | 10.4.43 (excluyendo) |
| cpe:2.3:a:typo3:typo3:*:*:*:*:*:*:*:* | 11.0.0 (incluyendo) | 11.5.35 (excluyendo) |
| cpe:2.3:a:typo3:typo3:*:*:*:*:*:*:*:* | 12.0.0 (incluyendo) | 12.4.11 (excluyendo) |
| cpe:2.3:a:typo3:typo3:13.0.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página