TYPO3 My quiz and poll Extension跨站脚本和SQL注入漏洞

发布日期：2013-02-19
更新日期：2013-02-21受影响系统：
TYPO3 My quiz and poll Extension 2.x
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 58057

TYPO3 My quiz and poll Extension是多功能的高级测试插件，可用于测试、调查、选票、评级或心理测试等。

My quiz and poll 2.0.0及之前版本没有过滤某些输入即用在了SQL查询中或返回给用户，通过注入任意SQL代码，可导致操作SQL查询，或在受影响站点上下文中执行任意HTML和脚本代码。

<*来源：Roberto Presedo

链接：http://secunia.com/advisories/52285/
http://typo3.org/teams/security/security-bulletins/typo3-extensions/typo3-ext-sa-2013-005/
*>建议：
--------------------------------------------------------------------------------
厂商补丁：

TYPO3
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://typo3.org/extensions/repository/view/myquizpollTYPO3 WEC 讨论区SQL注入漏洞Cisco Nexus 7000系列交换机远程拒绝服务漏洞相关资讯 SQL注入漏洞 TYPO3

TYPO3 Color Picker Wizard组件任（06/04/2014 17:21:13）
TYPO3 Authentication组件身份验证（06/04/2014 17:17:21）
TYPO3 6.2.2 发布，内容管理系统（05/08/2014 07:31:41）

TYPO3 后端组件多个XSS漏洞（06/04/2014 17:20:21）
TYPO3 4.5.34/6.2.3 发布，开源内（05/25/2014 09:34:00）
内容管理系统/框架 Typo3 （05/08/2014 07:32:31）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任