Vulnerabilidad en el componente de autenticación en TYPO3 (CVE-2014-3945)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-287
Autenticación incorrecta
Fecha de publicación:
03/06/2014
Última modificación:
12/04/2025
Descripción
El componente de autenticación en TYPO3 anterior a 6.2, cuando la creación de salts para el hash de contraseñas está deshabilitado, no requiere conocimiento de la contraseña en texto claro si se conoce el hash de la contraseña, lo que permite a atacantes remotos evadir autenticación y ganar acceso al motor mediante el aprovechamiento de conocimiento de un hash de contraseña.
Impacto
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:typo3:typo3:*:*:*:*:*:*:*:* | 6.1.9 (incluyendo) | |
| cpe:2.3:a:typo3:typo3:4.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:typo3:typo3:4.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:typo3:typo3:4.0.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:typo3:typo3:4.0.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:typo3:typo3:4.0.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:typo3:typo3:4.0.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:typo3:typo3:4.0.5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:typo3:typo3:4.0.6:*:*:*:*:*:*:* | ||
| cpe:2.3:a:typo3:typo3:4.0.7:*:*:*:*:*:*:* | ||
| cpe:2.3:a:typo3:typo3:4.0.8:*:*:*:*:*:*:* | ||
| cpe:2.3:a:typo3:typo3:4.0.9:*:*:*:*:*:*:* | ||
| cpe:2.3:a:typo3:typo3:4.0.10:*:*:*:*:*:*:* | ||
| cpe:2.3:a:typo3:typo3:4.0.11:*:*:*:*:*:*:* | ||
| cpe:2.3:a:typo3:typo3:4.0.12:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2014-001/
- http://www.debian.org/security/2014/dsa-2942
- http://www.openwall.com/lists/oss-security/2014/06/03/2
- http://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2014-001/
- http://www.debian.org/security/2014/dsa-2942
- http://www.openwall.com/lists/oss-security/2014/06/03/2