漏洞标题
N/A
漏洞描述信息
在TYPO3 8.7.30之前、9.x 之前、10.x 之前,发现了一个问题。发现QueryGenerator 和 QueryView 类容易被不安全的序列化漏洞攻击。一种可攻击的场景需要安装系统扩展 ext:lowlevel(后端模块: DB Check),并有一个具有管理员权限的有效的后端用户。另一种可攻击的场景需要安装系统扩展 ext:sys_action,并有一个具有有限权限的有效的后端用户。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
An issue was discovered in TYPO3 before 8.7.30, 9.x before 9.5.12, and 10.x before 10.2.2. It has been discovered that the classes QueryGenerator and QueryView are vulnerable to insecure deserialization. One exploitable scenario requires having the system extension ext:lowlevel (Backend Module: DB Check) installed, with a valid backend user who has administrator privileges. The other exploitable scenario requires having the system extension ext:sys_action installed, with a valid backend user who has limited privileges.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
TYPO3 代码问题漏洞
漏洞描述信息
TYPO3是瑞士TYPO3协会的一套免费开源的内容管理系统(框架)(CMS/CMF)。 TYPO3 8.7.30之前版本、9.5.12之前的9.x版本和10.2.2之前的10.x版本中的QueryGenerator and QueryView类存在安全漏洞。攻击者可利用该漏洞在受影响应用程序的上下文中执行任意代码或造成拒绝服务。
CVSS信息
N/A
漏洞类别
代码问题