Vulnerabilidad en TYPO3 (CVE-2023-47125)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
14/11/2023
Última modificación:
21/11/2023
Descripción
TYPO3 es un sistema de gestión de contenido web basado en PHP de código abierto publicado bajo GNU GPL. En las versiones afectadas, las instrucciones de procesamiento DOM no se manejan correctamente. Esto permite evitar el mecanismo de Cross-Site Scripting de typo3/html-sanitizer. Esta vulnerabilidad se ha solucionado en las versiones 1.5.3 y 2.1.4. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:typo3:html_sanitizer:*:*:*:*:*:*:*:* | 1.0.0 (incluyendo) | 1.5.3 (excluyendo) |
| cpe:2.3:a:typo3:html_sanitizer:*:*:*:*:*:*:*:* | 2.0.0 (incluyendo) | 2.1.4 (excluyendo) |
| cpe:2.3:a:typo3:typo3:*:*:*:*:elts:*:*:* | 8.7.42 (incluyendo) | 8.7.55 (excluyendo) |
| cpe:2.3:a:typo3:typo3:*:*:*:*:elts:*:*:* | 9.5.29 (incluyendo) | 9.5.44 (excluyendo) |
| cpe:2.3:a:typo3:typo3:*:*:*:*:elts:*:*:* | 10.4.19 (incluyendo) | 10.4.41 (excluyendo) |
| cpe:2.3:a:typo3:typo3:*:*:*:*:*:*:*:* | 11.3.2 (incluyendo) | 11.5.33 (excluyendo) |
| cpe:2.3:a:typo3:typo3:*:*:*:*:*:*:*:* | 12.0.0 (incluyendo) | 12.4.8 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página