Katalog CVE

CVE-2023-38499

NiskieCVSS 3.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.88%

Percentyl 54 — wyżej niż 54% wszystkich znanych CVE

Streszczenie

TYPO3 to system zarządzania treścią oparty na PHP, który w wersjach od 9.4.0 do 9.5.42 ELTS, 10.4.39 ELTS, 11.5.30 i 12.4.4 miał lukę umożliwiającą dostęp do treści zewnętrznych w scenariuszach wielostanowiskowych. Umożliwiało to odwiedzającym dostęp do treści wewnętrznej poprzez manipulację parametrami zapytania HTTP w URL.

Ocena ryzyka

Organizacje mogą być narażone na nieautoryzowany dostęp do poufnych treści, co może prowadzić do wycieku danych lub naruszenia prywatności. Potencjalne konsekwencje obejmują utratę zaufania użytkowników oraz problemy prawne związane z ochroną danych.

Rekomendacja

Zaleca się aktualizację TYPO3 do wersji 9.5.42 ELTS, 10.4.39 ELTS, 11.5.30 lub 12.4.4, aby usunąć tę lukę. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa aplikacji w celu zidentyfikowania innych potencjalnych zagrożeń.

Oryginalny opis (angielski, źródło NVD)

TYPO3 is an open source PHP based web content management system. Starting in version 9.4.0 and prior to versions 9.5.42 ELTS, 10.4.39 ELTS, 11.5.30, and 12.4.4, in multi-site scenarios, enumerating the HTTP query parameters `id` and `L` allowed out-of-scope access to rendered content in the website frontend. For instance, this allowed visitors to access content of an internal site by adding handcrafted query parameters to the URL of a site that was publicly available. TYPO3 versions 9.5.42 ELTS, 10.4.39 ELTS, 11.5.30, 12.4.4 fix the problem.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS