Tweet
Follow @gansomer
Según un nuevo reporte oficial de seguridad, se han descubierto 12
vulnerabilidades en TYPO3, relacionadas con Cross-site scripting,
revelación de información, denegación de servicio y fallos en las
políticas de seguridad en general.
TYPO3 es un gestor CMS web e intranet, enfocado al nivel empresarial,
situándose por detrás de Drupal o Joomla a nivel de uso, según las
estadísticas W3Techs.
Cuatro de las vulnerabilidades descubiertas son críticas por su impacto:
* Cross-Site Scripting: un fallo a la hora de tratar las URLs en la
propiedad 'JSWindow' de la función 'typolink', podría permitir (en la
configuración por defecto) la ejecución de código script.
* Revelación de información: mediante el uso de la propiedad "getText"
de los títulos en los contenidos, es posible recabar información de la
base de datos de TYPO3.
* Denegación de servicio: los editores del Backend serían capaces de
borrar ficheros arbitrarios del servidor web, debido a la incorrecta
serialización de los datos.
* Falta de políticas de acceso: usuarios del Backend serían capaces de
ejecutar cualquier componente ExtDirect sin tener asociación previa.
Se recomienda actualizar TYPO3 a las versiones 4.3.12, 4.4.9 o 4.5.4
según corresponda.
No hay comentarios:
Publicar un comentario