Vulnerabilidad en la configuración en una cuenta de usuario back-end en TYPO3 CMS (CVE-2020-11067)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-502
Deserialización de datos no confiables
Fecha de publicación:
14/05/2020
Última modificación:
15/05/2020
Descripción
En TYPO3 CMS versiones 9.0.0 hasta 9.5.16 y versiones 10.0.0 hasta 10.4.1, ha sido detectado que la configuración del usuario del backend (en $BE_USER-)uc) es vulnerables a una deserialización no segura. En combinación con vulnerabilidades de componentes de terceros, esto puede conllevar a una ejecución de código remota. Es requerida una cuenta de usuario del back-end válida para explotar esta vulnerabilidad. Esto ha sido corregido en las versiones 9.5.17 y 10.4.2.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
6.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:typo3:typo3:*:*:*:*:*:*:*:* | 9.0.0 (incluyendo) | 9.5.16 (incluyendo) |
| cpe:2.3:a:typo3:typo3:*:*:*:*:*:*:*:* | 10.0.0 (incluyendo) | 10.4.1 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página