Vulnerabilidad en TYPO3 (CVE-2022-36105)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
13/09/2022
Última modificación:
16/09/2022
Descripción
TYPO3 es un sistema de administración de contenidos web de código abierto basado en PHP y publicado bajo la licencia GNU GPL. Se ha detectado que la observación del tiempo de respuesta durante la autenticación del usuario (backend y frontend) puede usarse para distinguir entre cuentas de usuario existentes y no existentes. Los autores de extensiones de TYPO3 de terceros que proporcionan un servicio de autenticación personalizado deben comprobar si la extensión está afectada por el problema descrito. Las extensiones afectadas deben implementar el nuevo "MimicServiceInterface::mimicAuthUser", que simula los tiempos correspondientes al procesamiento normal. Actualice a TYPO3 versiones 7.6.58 ELTS, 8.7.48 ELTS, 9.5.37 ELTS, 10.4.32 o 11.5.16 que corrigen este problema. No se presentan mitigaciones conocidas para este problema
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:typo3:typo3:*:*:*:*:*:*:*:* | 7.0.0 (incluyendo) | 7.6.57 (incluyendo) |
| cpe:2.3:a:typo3:typo3:*:*:*:*:*:*:*:* | 8.0.0 (incluyendo) | 8.7.47 (incluyendo) |
| cpe:2.3:a:typo3:typo3:*:*:*:*:*:*:*:* | 9.0.0 (incluyendo) | 9.5.36 (incluyendo) |
| cpe:2.3:a:typo3:typo3:*:*:*:*:*:*:*:* | 10.0.0 (incluyendo) | 10.4.31 (incluyendo) |
| cpe:2.3:a:typo3:typo3:*:*:*:*:*:*:*:* | 11.0.0 (incluyendo) | 11.5.15 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página