Vulnerabilidad en Extbase Framework en TYPO3 (CVE-2013-1842)
Gravedad CVSS v2.0:
ALTA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
20/03/2013
Última modificación:
11/04/2025
Descripción
Vulnerabilidad de inyección SQL en Extbase Framework en TYPO3 v4.5.x anterior a v4.5.24, v4.6.x anterior a v4.6.17, v4.7.x anterior a v4.7.9, y v6.0.x anterior a v6.0.3 permite a atacantes remotos ejecutar comandos SQL a través de vectores no especificados, en relación con "el Query Object Model y los valores de relación".
Impacto
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:typo3:typo3:4.5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:typo3:typo3:4.5.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:typo3:typo3:4.5.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:typo3:typo3:4.5.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:typo3:typo3:4.5.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:typo3:typo3:4.5.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:typo3:typo3:4.5.5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:typo3:typo3:4.5.6:*:*:*:*:*:*:* | ||
| cpe:2.3:a:typo3:typo3:4.5.7:*:*:*:*:*:*:* | ||
| cpe:2.3:a:typo3:typo3:4.5.8:*:*:*:*:*:*:* | ||
| cpe:2.3:a:typo3:typo3:4.5.9:*:*:*:*:*:*:* | ||
| cpe:2.3:a:typo3:typo3:4.5.10:*:*:*:*:*:*:* | ||
| cpe:2.3:a:typo3:typo3:4.5.11:*:*:*:*:*:*:* | ||
| cpe:2.3:a:typo3:typo3:4.5.12:*:*:*:*:*:*:* | ||
| cpe:2.3:a:typo3:typo3:4.5.13:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.opensuse.org/opensuse-updates/2013-03/msg00079.html
- http://osvdb.org/90925
- http://secunia.com/advisories/52433
- http://secunia.com/advisories/52638
- http://typo3.org/support/teamssecuritysecurity-bulletins/security-bulletins-single-view/article/sql-injection-and-open-redirection-in-typo3-core/
- http://www.debian.org/security/2013/dsa-2646
- http://www.openwall.com/lists/oss-security/2013/03/12/3
- http://www.securityfocus.com/bid/58330
- http://lists.opensuse.org/opensuse-updates/2013-03/msg00079.html
- http://osvdb.org/90925
- http://secunia.com/advisories/52433
- http://secunia.com/advisories/52638
- http://typo3.org/support/teamssecuritysecurity-bulletins/security-bulletins-single-view/article/sql-injection-and-open-redirection-in-typo3-core/
- http://www.debian.org/security/2013/dsa-2646
- http://www.openwall.com/lists/oss-security/2013/03/12/3
- http://www.securityfocus.com/bid/58330