CVE-2023-38499
NiskieCVSS 3.7Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 54 — wyżej niż 54% wszystkich znanych CVE
Streszczenie
TYPO3 to system zarządzania treścią oparty na PHP, który w wersjach od 9.4.0 do 9.5.42 ELTS, 10.4.39 ELTS, 11.5.30 i 12.4.4 miał lukę umożliwiającą dostęp do treści zewnętrznych w scenariuszach wielostanowiskowych. Umożliwiało to odwiedzającym dostęp do treści wewnętrznej poprzez manipulację parametrami zapytania HTTP w URL.
Ocena ryzyka
Organizacje mogą być narażone na nieautoryzowany dostęp do poufnych treści, co może prowadzić do wycieku danych lub naruszenia prywatności. Potencjalne konsekwencje obejmują utratę zaufania użytkowników oraz problemy prawne związane z ochroną danych.
Rekomendacja
Zaleca się aktualizację TYPO3 do wersji 9.5.42 ELTS, 10.4.39 ELTS, 11.5.30 lub 12.4.4, aby usunąć tę lukę. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa aplikacji w celu zidentyfikowania innych potencjalnych zagrożeń.
Oryginalny opis (angielski, źródło NVD)
TYPO3 is an open source PHP based web content management system. Starting in version 9.4.0 and prior to versions 9.5.42 ELTS, 10.4.39 ELTS, 11.5.30, and 12.4.4, in multi-site scenarios, enumerating the HTTP query parameters `id` and `L` allowed out-of-scope access to rendered content in the website frontend. For instance, this allowed visitors to access content of an internal site by adding handcrafted query parameters to the URL of a site that was publicly available. TYPO3 versions 9.5.42 ELTS, 10.4.39 ELTS, 11.5.30, 12.4.4 fix the problem.

