Vulnerabilidad en TYPO3 (CVE-2022-23503)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
14/12/2022
Última modificación:
16/12/2022
Descripción
TYPO3 es un sistema de gestión de contenidos web basado en PHP de código abierto. Las versiones anteriores a 8.7.49, 9.5.38, 10.4.33, 11.5.20 y 12.1.1 son vulnerables a la inyección de código. Debido a la falta de separación de los datos enviados por el usuario de la configuración interna en el módulo backend de Form Designer, es posible inyectar instrucciones de código para procesarlas y ejecutarlas a través de TypoScript como código PHP. Para aprovechar esta vulnerabilidad se necesita la existencia de instrucciones TypoScript individuales para un elemento de formulario en particular y una cuenta de usuario backend válida con acceso al módulo de formulario. Este problema se solucionó en las versiones 8.7.49 ELTS, 9.5.38 ELTS, 10.4.33, 11.5.20, 12.1.1.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:typo3:typo3:*:*:*:*:*:*:*:* | 8.0.0 (incluyendo) | 8.7.49 (excluyendo) |
| cpe:2.3:a:typo3:typo3:*:*:*:*:*:*:*:* | 9.0.0 (incluyendo) | 9.5.38 (excluyendo) |
| cpe:2.3:a:typo3:typo3:*:*:*:*:*:*:*:* | 10.0.0 (incluyendo) | 10.4.33 (excluyendo) |
| cpe:2.3:a:typo3:typo3:*:*:*:*:*:*:*:* | 11.0.0 (incluyendo) | 11.5.20 (excluyendo) |
| cpe:2.3:a:typo3:typo3:*:*:*:*:*:*:*:* | 12.0.0 (incluyendo) | 12.1.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página