一、 漏洞 CVE-2020-26228 基础信息
漏洞标题
明文存储会话标识符
来源:AIGC 神龙大模型
漏洞描述信息
TYPO3是一个基于PHP的开源 web内容管理系统。在TYPO3版本9.5.23和10.4.10之前的版本中,用户会话标识符以明文形式存储 - 未经过额外的密码哈希算法处理。此漏洞不能直接被利用,它发生在连锁攻击的组合情况下,比如系统中其他组件的SQL注入。请更新至TYPO3版本9.5.23或10.4.10以修复描述的问题。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
Cleartext storage of session identifier
来源:美国国家漏洞数据库 NVD
漏洞描述信息
TYPO3 is an open source PHP based web content management system. In TYPO3 before versions 9.5.23 and 10.4.10 user session identifiers were stored in cleartext - without processing with additional cryptographic hashing algorithms. This vulnerability cannot be exploited directly and occurs in combination with a chained attack - like for instance SQL injection in any other component of the system. Update to TYPO3 versions 9.5.23 or 10.4.10 that fix the problem described.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
敏感数据的明文存储
来源:美国国家漏洞数据库 NVD
漏洞标题
TYPO3 加密问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
TYPO3是瑞士TYPO3(Typo3)协会的一套免费开源的内容管理系统(框架)(CMS/CMF)。 Typo3 存在加密问题漏洞,该漏洞源于将用户会话标识符以明文存储。该漏洞可以与其他问题结合利用,以检索会话标识符并获得对应用程序的未经授权的访问。攻击者可利用该漏洞攻击者访问敏感信息。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
加密问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2020-26228 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2020-26228 的情报信息