Vulnerabilidad en TYPO3 (CVE-2021-21340)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
23/03/2021
Última modificación:
26/03/2021
Descripción
TYPO3 es un sistema de gestión de contenidos web de código abierto basado en PHP. En TYPO3 versiones anteriores a la 10.4.14, 11.1.1 se ha descubierto que los campos de la base de datos utilizados como _descriptionColumn_ son vulnerables al cross-site scripting cuando su contenido se previsualiza. Se necesita una cuenta de usuario válida para explotar esta vulnerabilidad. Esto se ha corregido en las versiones 10.4.14, 11.1.1
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.50
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:typo3:typo3:*:*:*:*:*:*:*:* | 10.0.0 (incluyendo) | 10.4.14 (excluyendo) |
| cpe:2.3:a:typo3:typo3:*:*:*:*:*:*:*:* | 11.0.0 (incluyendo) | 11.1.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página