Vulnerabilidad en la extensión "mediace" en las instalaciones de TYPO3 (CVE-2020-15086)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

29/07/2020

Última modificación:

18/11/2021

Descripción

En las instalaciones de TYPO3 con la extensión "mediace" desde la versión 7.6.2 y anteriores a la versión 7.6.5, se ha detectado que se puede utilizar un mecanismo de verificación interna para generar sumas de comprobación arbitrarias. Permite inyectar datos arbitrarios que tienen un código de autenticación de mensaje criptográfico válido y puede conllevar a una ejecución de código remota. Para explotar con éxito esta vulnerabilidad, un atacante debe tener acceso al menos a un plugin "Extbase" o acción de módulo en una instalación TYPO3. Esto se corrigió en la versión 7.6.5 de la extensión "mediace" para TYPO3

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.80

Gravedad 3.x

CRÍTICA

Vector 2.0

AV:N/AC:L/Au:N/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: AV:N/AC:L/Au:N/C:P/I:P/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico