开源CMS TYPO3中存在XSS漏洞

发布于 作者:

开源CMS TYPO3中存在XSS漏洞

Adam Bannister 代码卫士 2022-09-16 18:01

聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

易受攻击的开源内容管理系统 (CMS) TYPO3的维护人员修复了位于软件更新中的一个跨站点脚本 (XSS)漏洞。

本周二,GitHhub发布安全公告指出,由于上游包masterminds/html5中存在一个解析问题,导致PHP包typo3/html-sanitizer的XSS机制被绕过, “具有特殊HTML注释的序列中所使用的恶意标记无法被过滤和清理。”

该漏洞已在typo3/cms-core 的7.6.58、8.7.48、9.5.37、10.4.32和11.5.16版本中修复。在此之前的所有版本均受影响。

由于需要用户交互,因此该漏洞被评为“中危”等级,CVSS评分为6.1。尽管如此,尽管TYPO3的市场份额一般,但所代表的活跃安装量非常庞大。该开源CMS在1997年推出,所占的CMS市场份额为2.43%,即客户超过23万人,其中46%位于德国。

TYPO3协会目前拥有900名左右成员,通过捐赠和会员资格订阅的方式支持开发。

该漏洞由安全研究员 David Klein发现,补丁由TYPO3安全团队主管和核心开发人员 Oliver Hader开发。

代码卫士试用地址:
https://codesafe.qianxin.com

开源卫士试用地址:
https://oss.qianxin.com

推荐阅读

美国政府发布联邦机构软件安全法规要求,进一步提振IT供应链安全

Apache开源项目 Xalan-J 整数截断可导致任意代码执行

CSRF防御机制反被CSRF误,csurf 开源NPM包被弃

黑客马拉松助力雅虎发现数百个Vespa 开源引擎工具的漏洞

谷歌推出开源软件漏洞奖励计划,提振软件供应链安全

Linux和谷歌联合推出安全开源奖励计划,最高奖励1万美元或更多

原文链接

https://portswigger.net/daily-swig/open-source-cms-typo3-tackles-xss-vulnerability

题图:
Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错,就点个 “
在看
” 或 “

” 吧~