TYPO3 Formhandler扩展跨站脚本执行和SQL注入漏洞

发布日期：2012-10-30
更新日期：2012-11-01受影响系统：
TYPO3 Formhandler <= 1.4.0
描述：
--------------------------------------------------------------------------------
Typo3是开源内容管理系统（CMS）和内容管理框架（CMF）。TYPO3的Formhandler扩展1.4.0及更早版本中存在多个漏洞，某些输入没有正确过滤即被返回给用户并使用在SQL查询中，导致在受影响站点的用户浏览器中执行任意HTML和脚本代码。利用此漏洞需要对Formhandler后端模块的编辑器权限。<*来源：Sven Krewitt

链接：http://secunia.com/advisories/51116/
http://typo3.org/teams/security/security-bulletins/typo3-extensions/typo3-ext-sa-2012-012/
*>建议：
--------------------------------------------------------------------------------
厂商补丁：TYPO3
-----
TYPO3已经为此发布了一个安全公告（typo3-ext-sa-2012-012）以及相应补丁1.4.1:typo3-ext-sa-2012-012：TYPO3-EXT-SA-2012-012: Several Vulnerabilities in extension Formhandler （formhandler）链接：http://typo3.org/teams/security/security-bulletins/typo3-extensions/typo3-ext-sa-2012-012/AXIGEN Mail Server “fileName”任意文件泄露和删除漏洞SAP NetWeaver Process Integration XML外部实体漏洞相关资讯 SQL注入漏洞 TYPO3 TYPO3安全漏洞

TYPO3 Color Picker Wizard组件任（06/04/2014 17:21:13）
TYPO3 Authentication组件身份验证（06/04/2014 17:17:21）
TYPO3 6.2.2 发布，内容管理系统（05/08/2014 07:31:41）

TYPO3 后端组件多个XSS漏洞（06/04/2014 17:20:21）
TYPO3 4.5.34/6.2.3 发布，开源内（05/25/2014 09:34:00）
内容管理系统/框架 Typo3 （05/08/2014 07:32:31）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容
本站有权在网站内转载或引用您的评论